ketelaer
Registered User
Hallo zusammen,
ich unterhalte seit Alturo-Zeiten einen eigenen Root-Server. Seit ein paar
Jahren habe ich eine Maschine bei Strato, auf der Suse 10.3 und Plesk 8.4
laufen. Auf dem Server werden etwa 15 Domains und ein paar Webseiten, sowie
ein Gamserver für Rentner gehostet.
Meine private EMail wird über einen QMail-Server abgewickelt.
Weil ich aus der DOS/Windows-Welt stamme, habe ich bisher mit Linux immer
nur das Nötigste erledigt, und mich mehr auf Tools wie Confixx und Plesk
konzentriert. Daraus resultiert, dass ich trotz jahrelanger Root-Server-
Erfahrung eigentlich recht wenig Ahnung von der Materie habe, ganz besonders
trifft das für Mail-Server zu.
Trotzdem klappte alles immer wunderbar, bis ich meine Homepages auf PHP
umgestellt habe. Aus heutiger Sicht begann mein Elend wohl damit, dass ich
mir ein eigenes Kontaktformular schrieb...
Vor einigen Wochen bemerkte ich, dass mein Server Unmengen an Spam verschickt.
Ich habe daraufhin den SMTP-Dienst abgeklemmt und versucht den Spammer wieder
los zu werden. Vergeblich. Als ich bemerkte, dass ich ohne SMTP auch keine Mail
mehr empfangen kann, bzw. diese nicht verteilt wird, habe ich den Dienst wieder
eingeschalten und stattdessen die Ports 25 und 587 für den Mail-Ausgang gesperrt.
Nach endlosem Suchen und Googeln fand ich einen Thread in diesem Forum, anhand
dessen ich den Spammer als Webserver-Benutzer indentifizieren konnte. Weil ich
nur zwei Scripte habe, die Mail versenden, habe ich die auch gleich gefunden und
gelöscht.
Der Spammer hat meine Queue jedoch weiterhin als anonymus@xxxxxxxx.stratoserver.net
zugemüllt. Daraufhin habe ich den Apache neu gestartet und es war für eine Weile
Ruhe. Dann aber fing er plötzlich an, als root@xxxxxxxx.stratoserver.net munter weiter
zu spammen. Daraufhin habe ich diese EMail-Adresse im Plesk geändert und den Apache
noch einmal gestartet. Danach war dann Ruhe und er schickt seitdem nur alle paar
Stunden eine Testmail, die aber in meiner Queue stecken bleibt, weil die Ports
gesperrt sind.
Leider ist es mir bisher nicht gelungen, zu ermitteln, auf welche Art der nach dem
Löschen des Kontaktformulars weiter gespammt hat. Ich habe mittlerweile bestimmt
500.000 Mails in meiner Queue gesammelt und entsorgt, und kann trotzdem nirgendwo
einen Logeintrag finden. (Über den Web-Zugriff)
Die Testmails kommen immer noch als Webserver-Benutzer mit UID 30 herein, obwohl es
meiner Meinung nach kein PHP-Script mit Mailversand mehr gibt. Uploadfunktionen gibt
es nicht.
Wie kann ich nun am besten vorgehen, um den Typen endgültig loszuwerden? Wenn ich
zumindest herausbekommen würde, über welchen Account der noch postet, dann würde
mir vielleicht selber etwas einfallen.
Ich möchte hier nicht unnötig lange Logfiles posten. Ich denke, es wäre sinnvoller,
wenn Ihr mir sagt, welche Daten ich posten soll.
Es wäre nett, wenn Ihr mir irgendwie helfen könntet.
Besten Dank im Voraus
Klaus
ich unterhalte seit Alturo-Zeiten einen eigenen Root-Server. Seit ein paar
Jahren habe ich eine Maschine bei Strato, auf der Suse 10.3 und Plesk 8.4
laufen. Auf dem Server werden etwa 15 Domains und ein paar Webseiten, sowie
ein Gamserver für Rentner gehostet.
Meine private EMail wird über einen QMail-Server abgewickelt.
Weil ich aus der DOS/Windows-Welt stamme, habe ich bisher mit Linux immer
nur das Nötigste erledigt, und mich mehr auf Tools wie Confixx und Plesk
konzentriert. Daraus resultiert, dass ich trotz jahrelanger Root-Server-
Erfahrung eigentlich recht wenig Ahnung von der Materie habe, ganz besonders
trifft das für Mail-Server zu.
Trotzdem klappte alles immer wunderbar, bis ich meine Homepages auf PHP
umgestellt habe. Aus heutiger Sicht begann mein Elend wohl damit, dass ich
mir ein eigenes Kontaktformular schrieb...
Vor einigen Wochen bemerkte ich, dass mein Server Unmengen an Spam verschickt.
Ich habe daraufhin den SMTP-Dienst abgeklemmt und versucht den Spammer wieder
los zu werden. Vergeblich. Als ich bemerkte, dass ich ohne SMTP auch keine Mail
mehr empfangen kann, bzw. diese nicht verteilt wird, habe ich den Dienst wieder
eingeschalten und stattdessen die Ports 25 und 587 für den Mail-Ausgang gesperrt.
Nach endlosem Suchen und Googeln fand ich einen Thread in diesem Forum, anhand
dessen ich den Spammer als Webserver-Benutzer indentifizieren konnte. Weil ich
nur zwei Scripte habe, die Mail versenden, habe ich die auch gleich gefunden und
gelöscht.
Der Spammer hat meine Queue jedoch weiterhin als anonymus@xxxxxxxx.stratoserver.net
zugemüllt. Daraufhin habe ich den Apache neu gestartet und es war für eine Weile
Ruhe. Dann aber fing er plötzlich an, als root@xxxxxxxx.stratoserver.net munter weiter
zu spammen. Daraufhin habe ich diese EMail-Adresse im Plesk geändert und den Apache
noch einmal gestartet. Danach war dann Ruhe und er schickt seitdem nur alle paar
Stunden eine Testmail, die aber in meiner Queue stecken bleibt, weil die Ports
gesperrt sind.
Leider ist es mir bisher nicht gelungen, zu ermitteln, auf welche Art der nach dem
Löschen des Kontaktformulars weiter gespammt hat. Ich habe mittlerweile bestimmt
500.000 Mails in meiner Queue gesammelt und entsorgt, und kann trotzdem nirgendwo
einen Logeintrag finden. (Über den Web-Zugriff)
Die Testmails kommen immer noch als Webserver-Benutzer mit UID 30 herein, obwohl es
meiner Meinung nach kein PHP-Script mit Mailversand mehr gibt. Uploadfunktionen gibt
es nicht.
Wie kann ich nun am besten vorgehen, um den Typen endgültig loszuwerden? Wenn ich
zumindest herausbekommen würde, über welchen Account der noch postet, dann würde
mir vielleicht selber etwas einfallen.
Ich möchte hier nicht unnötig lange Logfiles posten. Ich denke, es wäre sinnvoller,
wenn Ihr mir sagt, welche Daten ich posten soll.
Es wäre nett, wenn Ihr mir irgendwie helfen könntet.
Besten Dank im Voraus
Klaus
