Massenhafter Versand

stefan-becker · Mar 5, 2010

Hallo,

über einen Account von einem Kollegen wird massenhaft Spam verschickt, nun finde ich folgenden Eintrag im Log:

Code:

Mar  5 09:26:21 stefanshome postfix/pickup[13649]: B58183A0FF8: uid=33 from=<info@xxx.de>
Mar  5 09:26:21 stefanshome imapd: 1267777581.757774 LOGOUT, user=jan.xxx@xxx.de, ip=[127.0.0.1], headers=0, body=0, rcvd=61, sent=508, maildir=/var/qmail/mailnames/xxx.de/jan.xxx/Maildir
Mar  5 09:26:21 stefanshome postfix/cleanup[15071]: B58183A0FF8: message-id=<20100305092618.2whole5twgo8kk0s@webmail.xxx.de>
Mar  5 09:26:22 stefanshome postfix/qmgr[3491]: B58183A0FF8: from=<info@xxx.de>, size=4380, nrcpt=300 (queue active)
Mar  5 09:26:22 stefanshome postfix/smtpd[15070]: connect from localhost.localdomain[127.0.0.1]
Mar  5 09:26:22 stefanshome postfix/smtpd[15070]: 562683A0FF7: client=localhost.localdomain[127.0.0.1]
Mar  5 09:26:22 stefanshome postfix/smtpd[15310]: connect from localhost.localdomain[127.0.0.1]
Mar  5 09:26:22 stefanshome postfix/smtpd[15319]: connect from localhost.localdomain[127.0.0.1]
Mar  5 09:26:22 stefanshome before-remote[15305]: check handlers for addr: info@xxx.de 
Mar  5 09:26:22 stefanshome before-remote[15305]: check handlers for addr: sohyl@xxx.com 
Mar  5 09:26:22 stefanshome before-remote[15305]: check handlers for addr: sofiq_bg@xxx.bg

Sehe ich das richtig, dass der Dreck über webmail kommt?

Stefan

wstuermer · Mar 5, 2010

Da könntest du recht haben. Dein Webmail-Client bietet im Regelfall aber nochmal separate Logfiles.

stefan-becker · Mar 6, 2010

Wo liegen die denn für Horde?

wstuermer · Mar 6, 2010

Code:

find / -name 'horde.log'

stefan-becker · Mar 6, 2010

Ich habe /var/log/psa-horde/psa-horde.log gefunden, aber da wird nichts reingeschrieben...mhhh

Whistler · Mar 6, 2010

Plesk verwendet m.W. für den Webmail-vHost die standardmäßige /var/log/apache2/access_log.

stefan-becker · Mar 6, 2010

Ich habe in der /var/log/apache/access.log nur Dummy Connections vom Apache..

stefan-becker · Jun 24, 2010

Hat jemand sonst keine Idee wo der Apache die logs dafür ablegen könnte? Über eine Domain wird nämlich spam einegliefert und ich würde ich gerne wissen welcher Benutzer es ist... Im Maillog ist nur die localhost IP zusehen...

Stefan

Huschi · Jun 24, 2010

Seit ca. 3 Wochen wird also Dein Server zum Spammen missbraucht?
Na dann dürfte er wohl bereits auf allen schwarzen Listen stehen die es gibt. (Hoffentlich!)

Ich sags ja nur ungern, aber evtl. solltest Du jemanden Fragen der sich damit auskennt.
Schau mal in der Suche- & Biete-Sektion nach passenden Dienstleistern.

huschi.

stefan-becker · Jun 24, 2010

Nein nein, das ist nicht der Fall. Gestern ging es wieder los, habe erstmal alles gesperrt. Ich möchte das jetzt aber nachvollziehen.

wstuermer · Jun 25, 2010

Welches OS und welche Pleskversion hast Du denn? Evtl. hat zufällig jemand die Konstellation als Teststellung.

stefan-becker · Jun 25, 2010

Ich habe Plesk 9.3.0 und Denian Etch. Ich habe jetzt den Account gefunden, es war vorher immer ein IMAP Connect zu sehen.. aber die Logs fehlen noch

Massenhafter Versand

stefan-becker

New Member

wstuermer

Active Member

stefan-becker

New Member

wstuermer

Active Member

stefan-becker

New Member

Whistler

Well-Known Member

stefan-becker

New Member

stefan-becker

New Member

Huschi

Moderator

stefan-becker

New Member

wstuermer

Active Member

stefan-becker

New Member

We value your privacy