Hallo zusammen,
ich habe haufenweise Verbindungen von 127.0.0.1 die, als Absender <zufall>@meinedomain Spam verschicken.
(SMTP Ports sind von aussen sowieso geschlossen.)
Jaaaaaaa das übliche Thema, aber
es gibt keine Header Informationen und keine Hinweise auf den Absender (vonwegen Hushis sendmail-wrapper)
Mittlerweile gibt es in php ja eine mail_log Option, die mir den genauen Standort des Scripts verrät.
Das funktioniert auch prima - bei meinen Testmails. Der Spam ist aber nicht drin.
Ich vermute das die Mails nicht über mail() verschickt werden, sondern sich über fsockopen() verbunden wird und dann die Mails händisch aufgbaut werden.
Und hierzu finde ich keinerlei Hilfestellung, nur, das man die access_logs durchsuchen soll. Die Menge an Webseiten ist dafür aber viel zu groß.
Selbst wenn, ich bezweifle das in den access_logs mehr stehen würde als ein standard "GET /index.php" ohne weitere Parameter, und sich das Script die Daten dynamisch irgendwo her holt. Schlimmer noch, ich schätze es ist als Content in irgendeiner Joomla Datenbank eingebettet und entzieht sich jedwedem grep.
Oder ist garkein PHP sondern was anderes!
Frage ist also:
Wie bekomme ich auf einem Debian heraus, welches Programm sich lokal auf Port 25 mit dem Postfix verbindet.
Und, angenommen es käme eine PID raus, wie finde ich anhand derer die ausgeführte Datei?
Alternativideen begrüße ich natürlich auch!
z.B. hatte ich den Ansatz
nur leider hab ich nicht einen www-data sondern x web Benutzer, keine Chance.
_
ich habe haufenweise Verbindungen von 127.0.0.1 die, als Absender <zufall>@meinedomain Spam verschicken.
(SMTP Ports sind von aussen sowieso geschlossen.)
Jaaaaaaa das übliche Thema, aber
es gibt keine Header Informationen und keine Hinweise auf den Absender (vonwegen Hushis sendmail-wrapper)
Mittlerweile gibt es in php ja eine mail_log Option, die mir den genauen Standort des Scripts verrät.
Das funktioniert auch prima - bei meinen Testmails. Der Spam ist aber nicht drin.
Ich vermute das die Mails nicht über mail() verschickt werden, sondern sich über fsockopen() verbunden wird und dann die Mails händisch aufgbaut werden.
Und hierzu finde ich keinerlei Hilfestellung, nur, das man die access_logs durchsuchen soll. Die Menge an Webseiten ist dafür aber viel zu groß.
Selbst wenn, ich bezweifle das in den access_logs mehr stehen würde als ein standard "GET /index.php" ohne weitere Parameter, und sich das Script die Daten dynamisch irgendwo her holt. Schlimmer noch, ich schätze es ist als Content in irgendeiner Joomla Datenbank eingebettet und entzieht sich jedwedem grep.
Oder ist garkein PHP sondern was anderes!
Frage ist also:
Wie bekomme ich auf einem Debian heraus, welches Programm sich lokal auf Port 25 mit dem Postfix verbindet.
Und, angenommen es käme eine PID raus, wie finde ich anhand derer die ausgeführte Datei?
Alternativideen begrüße ich natürlich auch!
z.B. hatte ich den Ansatz
PHP:
authorized_submit_users = !www-data, static:all_
