qmail apache mails unterbinden
- Thread starter chris085
- Start date
Huschi
Moderator
Ob das Logfile geschrieben wird.
Damit nochmals die Frage: Warum läuft Dein Mailserver noch?
(Und warum hat noch nicht mal Dein Provider den Server abgeklemmt?)
PS: Die Boardregeln (Punkt 3.2) gelten auch für verzweifelte Menschen.
huschi.
amnesie
New Member
Dann probier mal folgendes: Such dir eine Mail, die du ungewollt verschickt hast und die noch in der Mailqueue liegt und such dir den Absender raus. Dann suchst du diesen String im Apache Log. Findest du ihn, dann hast du die fehlerhafte Seite entdeckt, sie ist nämlich in der entsprechenden URL enthalten. Deaktiviere diese Software.
Falls du nix findest, musst du ein bisschen Statistik machen und die Seite rausfinden, die sehr häufig aufgerufen wurden und das mit HTTP POST. Schau dir dann diese Seite genau an und checke, ob Mail verschickt wird. Sobald du das gefunden hast, deaktiviere die Software. Du wirst dann ziemlich schnell rausfinden, ob du das richtige abgeschalten hast.
Weiterhin kannst du noch anhand der Maillogs rausfinden, wann eine Mail verschickt wurde und kannst diese Uhrzeit mit den Uhrzeiten im Apache Logfile korrellieren.
Das ist aufwendig, aber damit findest du den Schuldigen.
Falls du nix findest, musst du ein bisschen Statistik machen und die Seite rausfinden, die sehr häufig aufgerufen wurden und das mit HTTP POST. Schau dir dann diese Seite genau an und checke, ob Mail verschickt wird. Sobald du das gefunden hast, deaktiviere die Software. Du wirst dann ziemlich schnell rausfinden, ob du das richtige abgeschalten hast.
Weiterhin kannst du noch anhand der Maillogs rausfinden, wann eine Mail verschickt wurde und kannst diese Uhrzeit mit den Uhrzeiten im Apache Logfile korrellieren.
Das ist aufwendig, aber damit findest du den Schuldigen.
chris085
Registered User
/tmp/mail.send Inhalt
X-Additional-Header: usr
oder welche log meinst du ?
Weil die Spamwelle immer von 0.00 - ca. 6.00 uhr morgens geht
Strato
Okay geht klar
Last edited by a moderator:
Huschi
Moderator
Aha, dort kommt also was an. Aber mehr nicht?
Ich hab den Wrapper nochmal etwas verändert, damit Zeit, User und Directory sinnvollere Aussagen im Logfile bringen:
Code:
#!/bin/sh
TODAY=`date -I`
echo $TODAY sendmail-wrapper called $USER from $PWD >>/tmp/mail.send
(echo X-Additional-Header: $(dirname $PWD);cat) | /usr/lib/sendmail-real "$@"Es ist peep egal, wann die Welle abgeht. Du mußt auch Deinen Beitrag dazu leisten, daß der Spamversand eingedämmt wird. Also schalte Deinen Mailserver ab solange das Problem besteht.
Bedenke, daß Du hier Hilfe von Server-Admins beanspruchst, die alle unter solchen Spamschleudern zu leiden haben. Du machst Dir hier auf diese Art keine Freunde.
huschi.
chris085
Registered User
Ich weiß @ huschi, bin selber aus der Branche.
Leider nur Microsoft, aber auch Linux auf längere Zeit.
Ich habe meine wichtigen Domains schon auf eine zweite IP outgesourct da diese fast nun auf allen Antispamservern einen Eintrag hat.
Ich werde dein Script gleich mal probieren.
Ich denke, ich habe was gefunden
https://blackforesttuningday.de/webstat/usage_200703.html
siehe Länder
Nur welche Datei das nun ist..... werde mal weitersuchen
Leider nur Microsoft, aber auch Linux auf längere Zeit.
Ich habe meine wichtigen Domains schon auf eine zweite IP outgesourct da diese fast nun auf allen Antispamservern einen Eintrag hat.
Ich werde dein Script gleich mal probieren.
Ich denke, ich habe was gefunden
https://blackforesttuningday.de/webstat/usage_200703.html
siehe Länder
Nur welche Datei das nun ist..... werde mal weitersuchen
Sinepp
Registered User
Hallo blaich,
ohne es böse zu meinen, aber jeder verantwortungsbewusste Admin hätte seit der ersten Nacht seinen MTA gestoppt und wäre solange dem Server auf die Nerven gegangen, bis der preisgegeben hätte, wer ihn ärgert.
Falls Du nicht weißt, wie Du Deinen MTA stoppst, kannst Du gerne nachfragen.
Und ansonsten könntest Du aussagefähige Logfiles posten anstatt eine Zeile mit einem Hack0rkr4ss3m png file.
Grüße
Sinepp
P.s.: Habe gesehen, dass Du auch swf's nutzt. Versendest Du durch diese ebenfalls Mails? Im Apachelogfile MUSS man nicht zwangsläufig eine Empfänger/Absenderadresse sehen, wenn die Daten nicht per GET Request übermittelt werden...
ohne es böse zu meinen, aber jeder verantwortungsbewusste Admin hätte seit der ersten Nacht seinen MTA gestoppt und wäre solange dem Server auf die Nerven gegangen, bis der preisgegeben hätte, wer ihn ärgert.
Falls Du nicht weißt, wie Du Deinen MTA stoppst, kannst Du gerne nachfragen.
Und ansonsten könntest Du aussagefähige Logfiles posten anstatt eine Zeile mit einem Hack0rkr4ss3m png file.
Grüße
Sinepp
P.s.: Habe gesehen, dass Du auch swf's nutzt. Versendest Du durch diese ebenfalls Mails? Im Apachelogfile MUSS man nicht zwangsläufig eine Empfänger/Absenderadresse sehen, wenn die Daten nicht per GET Request übermittelt werden...
Huschi
Moderator
Ehrlich gesagt: kaum zu glauben.blaich said:
Filter einfach das entsprechende access_log nach "200.207.115.231" und "POST".
Wenn es wirklich ein Brasilianer ist, könntest Du evtl. damit eine Spur finden.
PS: Und häng Dich gefälligst mal rein, bevor einer hier auf die Idee kommt und ne Mail an abuse@stato zu schicken.
huschi.
amnesie
New Member
Deshalb auch die andere Möglichkeit mit der zeitlichen Korrelation von POST-Requests und Mails.
chris085
Registered User
BlaBla, glaubst du ich nehm die Sache hier auf die leichte Schulter !?
Und ja ich habe eine ganze Nacht an dieser sch... hier verbracht und ich habe nicht aufgegeben. Aber irgendwann kommt man nun halt an seine grenzen und hofft auf einen guten Rat.
Last edited by a moderator:
elias5000
Site Reliability Engineer
Wenn er das bis jetzt noch nicht geschafft hat, sollte ihm eher ein "init 0" empfohlen werden, weil er nicht die nötige Einstellung zu Verhaltensweisen in solchen Situaltionen mitbringt...
@blaich:
Und was das Problem angeht: Such das verschissene Script und dichte es ab.
Und wenn du schon nicht auf Nachfragen reagierst (es wurde gefragt, ob du einen Flash-Mailer verwendest - welche oft ziemlich gruselig und Spam-offen geschriebene PHP-Scripte im Hintergrund verwenden), dann erwarte nicht, dass du hier jemanden findest, der dir den Hintern abwischt.
Es wurden bereits genug Hinweise gegeben um das Problem so weit in den Griff zu bekommen, dass du es entweder allein hin bekommst oder du zumindest mit weiteren brauchbaren Informationen wieder kommen kannst.
Und lösche alles, was noch in der Queue ist. Das ist das aller erste, was du nach dem Stoppen des Mailservers tun musst.
Huschi
Moderator
<Moderation>
Wir haben jetzt genügend auf blaich eingeredet.
Wer mag, kann gerne seine Maillogs oder Greylisting-Datenbanken nach Einträgen vom benannten Server blackforesttuningday.de oder seiner IP durchsuchen.
Wer heute noch Spam-Einträge hat, kann dies gerne an abuse@strato schicken.
@blaich:
Du bist derjenige der Hilfe braucht. Du solltest also sehen, daß Du Gegenfragen beantwortest, Vorschläge umsetzt und vor allem auch die Verantwortung übernimmst und den Mail-Server abschaltest solange der Server kompromitiert ist.
@all:
Und nun zum Topic zurück. D.h. entweder meldet sich blaich wieder mit neuen Erkenntnissen und fragen, oder das Thema ist hier beendet.
</Moderation>
huschi.
Wir haben jetzt genügend auf blaich eingeredet.
Wer mag, kann gerne seine Maillogs oder Greylisting-Datenbanken nach Einträgen vom benannten Server blackforesttuningday.de oder seiner IP durchsuchen.
Wer heute noch Spam-Einträge hat, kann dies gerne an abuse@strato schicken.
@blaich:
Du bist derjenige der Hilfe braucht. Du solltest also sehen, daß Du Gegenfragen beantwortest, Vorschläge umsetzt und vor allem auch die Verantwortung übernimmst und den Mail-Server abschaltest solange der Server kompromitiert ist.
@all:
Und nun zum Topic zurück. D.h. entweder meldet sich blaich wieder mit neuen Erkenntnissen und fragen, oder das Thema ist hier beendet.
</Moderation>
huschi.
chris085
Registered User
habe das Problem gleich nach meinem letzten Eintrag noch gefixt.
War nur eine Frage der Zeit bis ich die verdaechtige html Datei gefunden hatte. Kontaktformulare in spanisch sind immer ganz nett.
Bin jetzt im Urlaub und konnte deshalb nicht auf die schnelle antworten.
Danke noch mal fuer eure Muehen.
Gruss Christian
War nur eine Frage der Zeit bis ich die verdaechtige html Datei gefunden hatte. Kontaktformulare in spanisch sind immer ganz nett.
Bin jetzt im Urlaub und konnte deshalb nicht auf die schnelle antworten.
Danke noch mal fuer eure Muehen.
Gruss Christian
