Spam - keine Ahnung woher...

  • Thread starter Thread starter Deleted member 14422
  • Start date Start date
D

Deleted member 14422

Guest
Hi Leute,

momentan habe ich einen Kunden, von dessen Server Spam versendet wird - vermutlich über den Apachen.

Log-Auszug:
Code: 
Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5: message-id=<20130118221605.41453.qmail@officeax.server17.xxx.de>
Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: from=<vivienr@simamaung.com>, size=1331, nrcpt=2 (queue active)
Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: to=<asdf@sdf.com>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0, dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
server17.xxx.de ist die betroffene Maschine, die einen Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.

Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich sind mit unseren Latein am Ende.
 
Steht in den 3-4 Zeilen vorher im mail.log noch was interessantes? Bevor der cleanup greift, muss die Mail ja irgendwoher gekommen sein.
 
Davor:
Code: 
Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from localhost.localdomain[127.0.0.1]
Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5: client=localhost.localdomain[127.0.0.1]

Danach:
Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7: message-id=<20130118173319.ABF30B10BA7@server17.xxx.de>
Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender non-delivery notification: ABF30B10BA7
Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>, size=3206, nrcpt=1 (queue active)
Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
Click to expand...

Wahrscheinlich sehen wir den Wald vor lauter Bäumen nicht...
 
Möglich, dass es von einem Tool wie DarkMailer kommt?
 
Die Mail wird per SMTP vom Localhost eingeliefert. Gut möglich, daß das noch nicht der erste Log-Eintrag zu diesem Spammail ist - z.B. falls du noch Amavis o.ä. einsetzt, kann es sein, daß der Connect vom Localhost daher kommt. Prüfe also deine Logs auch mal etwas großzügiger (nicht nur 2-4 Zeilen) nach passenden Einträgen.
 
danton said:
Prüfe also deine Logs auch mal etwas großzügiger (nicht nur 2-4 Zeilen) nach passenden Einträgen.
Click to expand...

Tat ich, natürlich - und die 3 Kollegen. Keine auffälligen Logeinträge - deshalb sind wir ein bisschen am Ende mit unserem Latein.
 
You must log in or register to reply here.
Back
Top