spam mit www-data und postfix


Pharao

New Member
moin moin

ich hoste einige websites und lasse es mit lenny und ispconfig laufen.
seit der letzten kontrolle bin ich drauf gestossen, dass der www-data user über postfix (ich nehme an ein formmailer o.ä.) den server zuspamt, bzw. spams versendet.
der mailserver ist seither offline, bis das problem gelöst ist.
nun zu frage (auszug aus mail.info logfile):

Dec 13 21:32:50 ess7 postfix/qmgr[4140]: 4CAA0D40F08: from=<[email protected]>, size=663, nrcpt=1 (queue active)

das kommt zu tausende. logfiles sind meherere 100mb gross.

im netz hab ich leider nix gescheites gefunden, wie ich den verursacher rausfinden kann, bzw das problem lösen kann.
das mit der php.ini -> php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f [email protected]"
funkt irgendwie nicht, oder ich werd ned schlau draus.
hab ich in jedem virtualhost mit der jeweiligen mailadresse plus in der globalen config gemacht.
es wird weiterhin der www-data user angezeigt.

bin froh um jedes bischen knowhow von euch... ich bin mit meinem latein am ende.

greetz

pharao
 
Probier mal das in den vhost-Configs:

Code:
php_admin_value mail.force_extra_parameters "-f [email protected]"
Das funktioniert bei mir gar wunderbar :)

Und natürlich den Apache-Reload nicht vergessen ;)
 
Last edited by a moderator:
Letzteres geht in zwei wesentlichen Punkten an der ursprünglichen Aufgabe vorbei:
a) Man würde grundsätzlich damit verhindern dass PHP-Scripte Emails versenden.
b) Dem Übeltäter kommt man damit auch nicht auf die Spur.

huschi.
 
Viele Dank an alle

Das ging ja schnell. Gewaltig.
Zur Suche: hab da wohl mit den falschen Begriffen gesucht.
Zur Lösung: @Lord Gurke -> bei mir nicht...

So jetzt zum wesentlichen:
Hab den Übeltäter nach Handarbeit (offline setzen jeder einzelnen Domain) apache und postfix restart relativ schnell gefunden. Das Miese an der Geschichte, der Formmailer kam von extern. Es war eine HTML-Site mit nachgeladenem Formmailer von einer (man Staune nicht) Ostblock Domain. Darum fand ich mit der Suche auch nichts in der Art auf dem Webserver. Kaum war die Site inkl. dem kompletten Webspace gelöscht (mit erneutem restart wegen cache), war wieder Ruhe.
Es kommen zwar immer noch kleinere Fragmente rein, aber nie in dem Ausmasse wie bisher.

Was mich aber irritiert ist, wenn ich doch den Apache abschalte, sollte doch der Formmailer auch nicht mehr gehen. Er ging aber trotzdem weiter obwohl der apache offline war....
Oder seh ich da was falsch ?
Trotzallem und auch dem sendmail-wrapper kommt der www-data immernoch hie und da. Und der sendmail-wrapper ist leer, er funktioniert mit meinem test-formmailer, aber das wars dann auch.

danke trotzdem für eure hilfe
 
Last edited by a moderator:
wenn ich doch den Apache abschalte, sollte doch der Formmailer auch nicht mehr gehen.
Das Mail-Script selbst sollte weg sein. Aber die Emails die er schon eingespeist hatte bleiben dennoch erhalten. Was Du evtl. in den Logfiles "falsch siehst" kann ich von hier aus nicht beurteilen. ;)

Trotzallem und auch dem sendmail-wrapper kommt der www-data immernoch hie und da. Und der sendmail-wrapper ist leer, er funktioniert mit meinem test-formmailer, aber das wars dann auch.
Falls Du Interesse hast dieses Problem in Angriff zu nehmen, solltest Du es nochmal verständlicher formulieren.

huschi.
 
aaaaalso....

Wie gesagt habe ich durch handarbeit den grössten Sünder entdeckt und gelöscht. Natürlich hab ich danach auch den kompletten Postfix geleert und geflusht, danach alles restart.
Es wurde sehr sehr viel besser, trotzdem kommen immernoch diese Fragmente.
Wie gesagt, was mich wundert ist, woher dieser www-data kommt, selbst wenn der apache offline ist und der postfix geleert wurde ..?
Was sehr ärgerlich ist, weil ich inzw. bei den meisten Hostern als Spamserver gelte, kommen kaum mehr richtige Mails an. An Mails zu versenden an Webmailer ist schon garnicht mehr zu denken wie Ihr hier sehen könnt.


Code:
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 4A36C5788A8: from=<[email protected]>, size=611, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 4A734D22BE9: from=<[email protected]>, size=620, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 42C67D346CE: from=<[email protected]>, size=520, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 481BAD3BDAF: from=<[email protected]>, size=550, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 40C4ED419A7: from=<[email protected]>, size=565, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 4F7CBD366C6: from=<[email protected]>, size=587, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 1BF54D33F8F: from=<[email protected]>, size=603, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/smtp[14018]: 40445D36B78: host mx02.t-online.de[194.25.134.9] refused to talk to me: 554 IP:89.144.6.2 - A problem occurred. (Ask your postmaster for help or to con$
Dec 14 06:26:46 ess7 postfix/smtp[14018]: 40445D36B78: host mx03.t-online.de[194.25.134.73] refused to talk to me: 554 IP:89.144.6.2 - A problem occurred. (Ask your postmaster for help or to co$
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 19EFDD2F4EE: from=<[email protected]>, size=567, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/smtp[14018]: 40445D36B78: host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP:89.144.6.2 - A problem occurred. (Ask your postmaster for help or to co$
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 17930D3C543: from=<[email protected]>, size=593, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/smtp[14019]: 48725D27378: host mxbw.bluewin.ch[195.186.18.144] refused to talk to me: 451 Connection not accepted from blacklisted IP address [89.144.6.2]
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 174FDD40894: from=<[email protected]>, size=501, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 17987D26C45: from=<[email protected]>, size=540, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/smtp[14017]: 412ADD312E9: host smtp.wanadoo.fr[80.12.242.53] refused to talk to me: 554 5.7.1 service refused. Client host 89.144.6.2 blocked for spamming issues. A$
Dec 14 06:26:46 ess7 postfix/smtp[14019]: 48725D27378: host mxbw.bluewin.ch[195.186.19.144] refused to talk to me: 451 Connection not accepted from blacklisted IP address [89.144.6.2]
Dec 14 06:26:46 ess7 postfix/qmgr[3354]: 1C2CED34677: from=<[email protected]>, size=612, nrcpt=1 (queue active)
Dec 14 06:26:46 ess7 postfix/smtp[14019]: 48725D27378: host mxzhb.bluewin.ch[195.186.18.144] refused to talk to me: 451 Connection not accepted from blacklisted IP address [89.144.6.2]

hier sind meine configs und die kompletten Logfiles.
mail.log: http://www.h-wd.ch/bsp/mail.log
main.cf: http://www.h-wd.ch/bsp/main.cf

Wie gesagt, es läuft ISPconfig druff, mit Spamassassin, Procmail und Postfix.

@Huschi. wenn du willst, kannst du dich gerne mal auf dem Rootserver umsehen. Ich denke dass hier ist ein seriöses Forum, daher kann ich das ruhig anbieten.
Ich bin Software Developer und kein Hostmaster, ich hab den Rootserver und das Geschäft so übernommen und eigentlich ist die Kiste auch rel. sicher, abgesehen von kleineren SSH-Hackattacken, die sind aber normal.

thanx
 
woher dieser www-data kommt, selbst wenn der apache offline ist und der postfix geleert wurde ..?
Dann hat sich wohl ein Kuckucks-Ei eingeschlichen.
Entweder Du läßt einen Fachmann ran der sich dessen entledigt, oder Du setzt den Server neu auf.
Letzteres hat den Nachteil, dass man die Lücke über die das Kuckucksei gelegt wurde meisten unentdeckt und unbehoben bleibt. Und damit es es nur eine Frage der Zeit wann es wieder so weit ist... ;)

@Huschi. wenn du willst, kannst du dich gerne mal auf dem Rootserver umsehen.
Kannst mal auf meinem Server nachsehen...?

huschi.
 
Hab ich auch ned erwartet, weil ich weiss genau was für ein Aufwand das ist. Und ich verdien mit GSP / Rootserverunterhalt für Gameserver ebenfalls mein Geld.
Nur mit Mailsystemen hab ichs ned so.

Nun gut. Ich machs jetzt folgendermassen.
Ich werd mich mal mit dem Auth auseinandersetzen. Seriöse Formmailer werden dann halt umgeschrieben werden müssen, ist mir inzw. aber absolut egal.
Ein guter Coder kann Formmailer auch MIT Auth schreiben.
Ebenfalls wird der www-data gesperrt für alle Mails.

Sollte was ned gehen oder ich zu dümmlich bin das umzusetzen werdet Ihr sicher wieder von mir hören ;)

Trotzallem, danke vielmals für die Hilfe, ein Versuch wars Wert :D
 
Nur nochmal kurz meine Meinung:
Dein Vorgehen behandelt nur die Symptome und nicht die Krankheit.

huschi.
 
nachtrag

Für all jene die ähnliche Probleme haben, hier evtl. die Lösung.

Nun hab ich endlich den Fehler gefunden.
Jene Webspaces die keine Fastdownloads sind, haben i.d.R. Cgi-bin offen und einige haben sogar Konsolenzugriff wegen Stats (welche inzw. alle gesperrt sind, weil die meisten Stats per Web restartet werden können).

Gerstern hab ich, wiedermal, in Handarbeit alle error.logs der jeweiligen Webspaces durchgeschaut und mir ist aufgefallen, dass bei einem das Log mit Fehlern gespickt war die von einem x4rff3dd.pl kommen. Die Datei war garnicht vorhanden im Cgi, dennoch kam 5 min vorher der Logeintrag. Und das beste am ganzen, die HTML Site (siehe Beitrag oben) die für die ersten Attacken verantwortlich war hiess genau gleich, nur .html statt .pl und kam von einem anderen Webspace.
Die beiden Clans welche die Webspaces haben gehören zusammen, hab ich dann festgestellt.

Vergleich der Zeiten mit error.log und mail.log und tadaa....

Nun ist auch klar wieso der www-data immernoch ging, trotz des Offline Apache. Mit direktem Konsolenzugriff ist das natürlich kein Problem.

Lange Rede kurzer Sinn. jener welcher hat das Script kurz gestartet bis alle Routinen durch waren und danach das File wieder gelöscht. Danach hatte der Postfix min. 30min zu tun bis er dann wieder das Script hochgeladen hatte und wieder gestartet / gelöscht hat.

Wie üblich bin ich durch reinen Zufall drauf gestossen.
Cgi kann ich nicht vollständig sperren, weil einigen Kunden die für die Gamestats brauchen. Aber ich weiss jetzt wenigsten wo suchen und kann auch Routinen schreiben die die Fehler besser finden.
Obwohl Perl immer müde belächelt wird, es ist eine sehr mächtige Sprache wenn man weiss wie umgehen damit.

Ganz schön miese Nummer war das.
Was mich aber am meisten nervt, bei den meisten Webmailern ist mein Server jetzt auf der Blacklist.

thx und greetz aus der Schweiz

Franco
 
Last edited by a moderator:

Back
Top