Spam über Postfix von localhost (Direktverbindung)

mintess

New Member
Hallo zusammen,

ich habe haufenweise Verbindungen von 127.0.0.1 die, als Absender <zufall>@meinedomain Spam verschicken.
(SMTP Ports sind von aussen sowieso geschlossen.)

Jaaaaaaa das übliche Thema, aber

es gibt keine Header Informationen und keine Hinweise auf den Absender (vonwegen Hushis sendmail-wrapper)

Mittlerweile gibt es in php ja eine mail_log Option, die mir den genauen Standort des Scripts verrät.
Das funktioniert auch prima - bei meinen Testmails. Der Spam ist aber nicht drin.

Ich vermute das die Mails nicht über mail() verschickt werden, sondern sich über fsockopen() verbunden wird und dann die Mails händisch aufgbaut werden.


Und hierzu finde ich keinerlei Hilfestellung, nur, das man die access_logs durchsuchen soll. Die Menge an Webseiten ist dafür aber viel zu groß.

Selbst wenn, ich bezweifle das in den access_logs mehr stehen würde als ein standard "GET /index.php" ohne weitere Parameter, und sich das Script die Daten dynamisch irgendwo her holt. Schlimmer noch, ich schätze es ist als Content in irgendeiner Joomla Datenbank eingebettet und entzieht sich jedwedem grep.

Oder ist garkein PHP sondern was anderes!

Frage ist also:
Wie bekomme ich auf einem Debian heraus, welches Programm sich lokal auf Port 25 mit dem Postfix verbindet.
Und, angenommen es käme eine PID raus, wie finde ich anhand derer die ausgeführte Datei?

Alternativideen begrüße ich natürlich auch!

z.B. hatte ich den Ansatz
PHP:
authorized_submit_users = !www-data, static:all
nur leider hab ich nicht einen www-data sondern x web Benutzer, keine Chance.
_
 

The_Nero

Supporter
Das Gleiche Problem hatte ich mal bei einem Confixx.

Mit lsof kannst du dich auf die Lauer legen und die SMTP Kommunikation überwachen.

Ich würde mit folgender Zeile starten und diese jede Sekunde ausführen. Wenn die Ausgabe die PID anzeigt, kannst du direkt per lsof -p PID schauen was das für ein Skript ist.

Code:
lsof -i -P -n | grep :25 | grep -v postfix
 

mintess

New Member
Und das kommt raus

PHP:
php5-fpm  11363    web618   15u  IPv4 13548449      0t0  TCP meineIP:53134->74.125.136.27:25 (ESTABLISHED)
php5-fpm  11363    web618   22u  IPv4 13548474      0t0  TCP meineIP:53141->74.125.136.27:25 (ESTABLISHED)
php5-fpm  30517    web618   20u  IPv4 13457454      0t0  TCP meineIP:45038->74.125.136.27:25 (CLOSE_WAIT)
 

Firewire2002

Registered User
Damit weißt du nun also welcher Benutzer betroffen und das es ein PHP Script ist.
Schau in die Apache Access-Logs dieses Benutzers. Ich würd zu erst nach POST Requests suchen. Oft sind die Spam-Scripte dynamisch gehalten. Als Spammer will man ja flexibel sein. Also kommt vieles per POST. ;)
 
Top