postfix versendet spam

K

KUNSTdrucker

New Member
Hallo!

Hab mir bei alfahosting einen VPS angemietet. Seit einem halben Jahr lief alles gut. Seit Samstag letzter Woche wurde aber über meinen Server massenweise SPAM verschickt und ich versuche seitdem zu eruieren, woher das Problem stammt.

Gesendet wurden die mails über das postfix system, was ich nun erstmal deaktivert hab.

Ein Auszug aus der mail.log

Jul 16 01:53:05 vps9558 postfix/smtp[31756]: D51262AED169A: to=<taatsiannguq@hotmail.com>, relay=mx4.hotmail.com[65.55.37.72]:25, conn_use=4, delay=2372, delays=0.01/2371/0.16/1.6, dsn=5.0.0, status=bounced (host mx4.hotmail.com[65.55.37.72] said: 550 Requested action not taken: mailbox unavailable (in reply to RCPT TO command))
Jul 16 01:53:05 vps9558 postfix/qmgr[7575]: 12EE99E902DC: from=<web1@vps9558.alfahosting-vps.de>, size=1300, nrcpt=8 (queue active)
Jul 16 01:53:05 vps9558 postfix/smtp[30649]: CD73A2AED169B: to=<shierath@shaw.ca>, relay=idcmail.shaw.ca[24.71.223.11]:25, delay=2371, delays=0.01/2370/0.54/0.72, dsn=2.0.0, status=sent (250 ok: Message 1149916080 accepted)
Click to expand...

Heute morgen dann habe ich versucht, einen wrapper zu erstellen, um mitzuloggen, ob eventuell ein offenes/schädliches php-Skript die mails versendet.

Ich habe mich dabei an diese Anleitung gehalten:

http://www.howtoforge.com/how-to-log-ema…etect-form-spam

Zweimal für jeweils 5 Minuten habe ich zum Testen des wrappers postfix wieder angestellt.

Sofort gingen wieder an die 200 mails raus. Ich nehme an, dass diese noch irgendwo in der queue hängen? Kann mir jemand sagen, wo ich die queue finden kann?

Leider hat der wrapper auch kein Ergebnis gebracht. Ich habe die mailtest.php ausgeführt und die eigens dafür erstellte log-Datei blieb leer. Hat mich also nicht wirklich weiter gebracht.

Über ein paar Hinweise und Tips würde ich mich freuen!

Danke
Micha
 
Der Übeltäter ist der User web1.

Mit postsuper -d all kannst du die komplette Queue löschen.
(Vorher /var/spool/postfix sicher -> Beweise)

Dann das web1 deaktivieren.

Jetzt sollte der Spuck erstmal vorbei sein.
Im Apachelog des Users findest du auch das Skript welches für den Versand verantwortlich ist.
Wenn du PHP 5.3 oder suhosin Patch installiert hast siehst du den Übeltäter auch im Quelltext der Mails die in der Queue liegen. Diese hast du oben ja weggesichert.
 
Hallo!

Vielen vielen Dank für die schnelle und professionelle Hilfe. Hat soweit alles gut geklappt.

Ich such mich grad dumm und dämlich nach den Log des web1.

Ich habe im var/log/apache2 für den betreffenden Zeitraum riesige other_vhosts_access Logdateien gefunden, die ich aber hier auf diesem Rechner nicht öffnen kann, weil zu groß. Ich schau da heute abend mal von zuhause aus rein.

Sind das die richtigen Log-Dateien oder muss ich woanders schauen?

Danke

Bis dann
Micha
 
Moin Moin,

hab den Übeltäter in der besagten Log-Datei gefunden; vielen Dank. War ein schädliches script beim web1.

Vielen Dank nochmal für die Hilfe!
Micha
 
password differ

Moin,

ich hab jetzt postfix wieder gestartet. Nun kommt die Meldung:

postfix/postfix-script: warning: /va/spool/postfix/etc/passwd and /etc/passwd differ
Click to expand...

Was hat das zu bedeuten? Ein User von mir hat zwischenzeitlich versucht, Konten anzulegen. Hat es was damit zu tun?

Danke
Micha
 
Wenn ich mir die Fehlermeldung so ansehe steht da "/va/". Sollte da nicht eigentlich "/var/" stehen? Wird vermutlich daran liegen das die Datei unter dem angegeben Verzeichnis überhaupt nicht existiert.
 
You must log in or register to reply here.
Back
Top