Massive Spam-Probleme -Log Datei 15 MB Größer!

[Master-Basti]

HAllo zusammen,

habe nun aktuelle vom 14.02.2007 eine Logdatei die etwa 15 MB größer ist als normal. Folgender Inhalt ist dort unter anderen zu finden:

Feb 14 18:19:47 s10 postfix/smtp[506]: 77283D286B6: to=<raissa_meireles@hotmail.com>, relay=mx4.hotmail.com[65.54.244.104], delay=7238, status=sent (250 <20070214151909.77283D286B6@meinserver.de> Queued mail for delivery)

Die Access_Log sagt leider nicht viel dazu:
Nur GET-Befehle, bzw. werden nur Bilder abgerufen.

Und von diesen Einträgen gibt es einige 100erte.
Und hier noch ein Block der immer wieder auftaucht:

Feb 14 16:23:45 s10 postfix/qmgr[11965]: EF957D28040: removed
Feb 14 16:23:46 s10 postfix/smtp[24283]: 76947BB9053: to=<egabrielaa_garcia@google.com>, relay=smtp1.google.com[216.239.57.25], delay=81, status=bounced (host smtp1.google.com[216.239.57.25] said: 553 5.5.3 <egabrielaa_garcia@google.com>... Invalid (in reply to RCPT TO command))
Feb 14 16:23:46 s10 postfix/smtp[24283]: 76947BB9053: to=<gabrielaa_garcia@google.com>, relay=smtp1.google.com[216.239.57.25], delay=81, status=bounced (host smtp1.google.com[216.239.57.25] said: 553 5.5.3 <gabrielaa_garcia@google.com>... Invalid (in reply to RCPT TO command))
Feb 14 16:23:46 s10 postfix/cleanup[2899]: 5D253D28040: message-id=<20070214152346.5D253D28040@meinserver.de>
Feb 14 16:23:46 s10 postfix/qmgr[11965]: 5D253D28040: from=<>, size=5048, nrcpt=1 (queue active)
Feb 14 16:23:46 s10 postfix/local[3098]: 5D253D28040: to=<

Die Access_log gibt mir auch hier wieder keine POSTS aus....

Hat noch jemand eine Idee, wie ich dem ganzen auf die schliche kommen kann ?

Gruß

MasterBasti

 

[Huschi]

Die Access_Log sagt leider nicht viel dazu:

Warum auch?
Oder gehst Du grundsätzlich von der Annahme aus, daß Du ein unsicheres Script auf dem Server hast?

Check erstmal, was auf dem Rechner wirklich abgeht. Nutze mailq und checke, wieviel Mails dorr rumlungern.
Dann prüf mal, wo die lokalen Bounces abgelegt werden. Schau Dir mal an, was für Mails das sind und vorallem, schau auf den ursprünglichen Header.
Als nächstes versuchst Du im Maillog mal rauszufinden, wann das alles begann.

huschi.

 

[Master-Basti]

Also, die mailq ist voll mit einträgen wie:

(connect to pcpostal.com[69.25.47.164]: Connection timed out)
celestine@pcpostal.com
granny@itl.com

BCCF4D28074* 1370 Wed Feb 21 01:56:35 wwwrun@meinserver.de
(delivery temporarily suspended: host f.mx.mail.yahoo.com[68.142.202.247] refused to talk to me: 421 Message from (Meineip) temporarily deferred - 4.16.50. Please refer to http://help.yahoo.com/help/us/mail/defer/defer-06.html)
amwillcox@yahoo.com
amyhever@yahoo.com
anderson_mark1962@yahoo.com
angela_m_hunt@yahoo.com
anuradhapappu@yahoo.com
april15683@yahoo.com
auburnlady1@yahoo.com
avalou2003@yahoo.com
b_adney@yahoo.com
babygirl060890@yahoo.com
bangeorge59@yahoo.com
bear_bubbles_1987@yahoo.com
bigjerriz@yahoo.com
billigan70@yahoo.com
blluerusty_blackgirl@yahoo.com
bobbied6@yahoo.com
boga315@yahoo.com
............

Wie finde ich am besten raus, wo die bounces abgelegt werden ?

Desweiteren ist mir aufgefallen, dass das Postfach wwwrun mit 2 GB total überlaufen ist... Genauso wie nobody mit 140 MB und root mit 8 MB.
Was läuft denn auf diesen Postfächern auf ?

Richtig extrem angefangen hat das ganze am 29.01.2007, sodass mir das sofort aufgefallen ist... Eine genau Zeit kann ich allerdings auch nicht fest machen, da hier und da immer wieder mal eine merkwürdige Adresse steht, die SPAM enthalten könnte...

Gruß

Master-Basti

 

[Huschi]

Wie finde ich am besten raus, wo die bounces abgelegt werden ?

Du gibst Dir selbst die Antwort, merkst es aber nicht:

dass das Postfach wwwrun mit 2 GB total überlaufen ist... Genauso wie nobody mit 140 MB und root mit 8 MB.

Richtig extrem angefangen hat das ganze am 29.01.2007

Dann wird es nach 3 Wochen ja mal Zeit etwas dagegen zu unternehmen.

Eine genau Zeit kann ich allerdings auch nicht fest machen,

Solltest Du aber. Denn nur anhand dessen kannst Du die Lücke im System finden.
(Vorausgesetzt die entsprechenden access_log's existieren noch.)
Evtl. hilft Dir ja schon ein Blick in die ersten Mail von wwwrun.

huschi.

 

[Master-Basti]

Ok, werde jetzt aber keine 2 GB große Datei öffnen....
Da kann ich ja dann morgen erst reinschauen (aufgrund der Größe)

Dann wird es nach 3 Wochen ja mal Zeit etwas dagegen zu unternehmen.

Naja, ist mir vorher nicht aufgefallen, weil die Logs nicht wesentlich größer geworden sind. Aber bei einem unterschied 2 MB zu 15, macht es bei mir dann auch klick....

Solltest Du aber. Denn nur anhand dessen kannst Du die Lücke im System finden.
(Vorausgesetzt die entsprechenden access_log's existieren noch.)
Evtl. hilft Dir ja schon ein Blick in die ersten Mail von wwwrun.

Nun, gibt es da auch einen Tipp vom Experten, wie man das am besten anstellt ?
Wonach schaue ich da am besten ?
Gibt es eine Möglichkeit nach etwas zu filtern und wie ?

GRuß

MasterBasti

Ps: Sagt euch jax_calendar.php was ? Kommt irgendwie sehr sehr häufig in den Logs vor...
GEnauso wie webpost.php, wobei diese Datei mit dem Statuscode 400 geloggt wird. Also nicht gefunden!

 

[Huschi]

Ok, werde jetzt aber keine 2 GB große Datei öffnen....

Was hindert Dich daran? "less" ist Dein Freund.
Oder wenn es bequemer sein soll:

sudo -u wwwrun mutt

(Vorausgesetzt sudo und mutt sind installiert.)

huschi.

 

[Master-Basti]

Ok, less sagt folgendes:

Received: by meinerserver.de (Postfix, from userid 30)
id 5CAE5D42CFC; Tue, 15 Aug 2006 19:41:04 +0200 (CEST)
To: terezac@zaz.com.br
Subject: Marina te enviou um cartao
From: VOXCARDS <entrega@voxcards.com.br>
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
Content-Transfer-encoding: 8bit
Reply-To: VOXCARDS <entrega@voxcards.com.br>
Message-ID: <62dbfad1a09733f5447995a9f016a41a@voxcards.com.br>
X-Priority: 1
X-MSmail-Priority: High
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
Date: Tue, 15 Aug 2006 19:41:04 +0200 (CEST)

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
.....

Wobei ich da auch nicht richtig schlau draus werde, weil ich die Nachricht ja empfange..... Received: by meinserver.de"

--5245AD40FA8.1155826016/meinserver.de
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; meinserver.de
X-Postfix-Queue-ID: 5245AD40FA8
X-Postfix-Sender: rfc822; wwwrun@meinserver.de
Arrival-Date: Tue, 15 Aug 2006 19:25:24 +0200 (CEST)

Final-Recipient: rfc822; teixeira1@zaz.com.br
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host mx-psi02.terra.com.br[200.176.10.240] said:
550 <teixeira1@zaz.com.br>: Recipient address rejected: User unknown in
virtual alias table (in reply to RCPT TO command)

 

[rene.s]

Das sagt doch schon alles:

Received: by meinerserver.de (Postfix, from userid 30)
id 5CAE5D42CFC; Tue, 15 Aug 2006 19:41:04 +0200 (CEST)

X-Postfix-Sender: rfc822; wwwrun@meinserver.de

Userid 30 ist wwwrun, also hast du ein unsicheres Script, vermutlich ein Kontaktformular.

Gruß,

René

 

[Master-Basti]

Ok, dieses müsste dann doch aber ziemlich häufig in den Log-Dateien auftauchen und nicht mit der Methode GET sondern POSt ausgewiesen sein ?!?!?

Wenn ja, gibt es eine Möglichkeit, die Log-Datei dahingehend zu filtern ?

Gruß

MasterBasti

 

[charli]

Hallo,

wenn das Loch im Script groß genug ist kann man mit einem Scriptaufruf Tausende von Spammails auslösen.

cd /var/log/apache2
grep -ir 'post' *