Spamproblem mit Plesk und Qmail

fynx

New Member
hi leute brauche dringend hilfe 8(

und zwar bekomm ich seit kurzem jeden tag an die 30.000 mail von folgender adresse

Important Update:Security Precaution. [email protected]
[email protected] Jan 24,
2009 10:32 AM 07:46:53 3,23 KB

eigentliche nachricht
Received: (qmail 18057 invoked by uid 30); 24 Jan 2009 10:32:23 +0100
Date: 24 Jan 2009 10:32:23 +0100
Message-ID: <[email protected]>
To: [email protected]
Subject: Important Update:Security Precaution.
From: First National Bank. <[email protected]>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit

ich muss dann die mails immer über qmHandle löschen weil ich auf die Mail Queue im plesk nicht mehr zugreifen kann

hätte versucht über die Blacklist von Plesk 8.6 die domain zu sperren ... nutzt aber nix.

kann mir da wer helfen das ganze zu unterbinden... wäre sehr dankbar

lg chris
 
Code:
Received: (qmail 18057 invoked by uid 30); 24 Jan 2009 10:32:23 +0100
UID 30 ist unter SuSE Linux standardmäßig der Benutzer wwwrun, unter dem der Webserver läuft. Das bedeutet, dass diese E-Mails über deinen Server (genauer gesagt den Webserver bzw. ein verwundbares Skript) verschickt werden...
 
Dein Server hat es schon in die Spamhaus-Blacklist geschafft: SBL Advisory - Ref: SBL70979
Ein paar Mails sind also wirklich 'rausgegangen.

Ich würde sofort erstmal alles sperren, was im Webserver scripten kann - und dann lange und gründlich Logfiles lesen.
 
aw.

leider weiss ich nicht wo die mails herkommen... bei scripts wirds schwierig da ich einige OS foren am laufen hab ... aber wird mir wohl nix andere übrig bleiben als ein forum bzw webshop nach dem anderen mal für ein paar tage stillzulegen.
 
Auf meinen Systemen wird in letzer Zeit verstärkt nach
- /cacti/cmd.php
- /adserver/adxmlrpc.php
- /drupal/xmlrpc.php
- /roundcube/bin/msgimport
- /twiki/configure
- /cgi-bin/twiki/configure.pl
- /phpmyadmin/main.php
- /bugtrack/login_page.php
- /horde//README
- /images/shell.php
- /bugtrack/login_page.php
- /mantis/signup_page.php
- /SQLiteManager-1.2.0/index.php
(wechselnde Pfade, nur der Scriptname ist interessant) gescannt.

Viellicht findet sich irgendwo bei Dir im Apache-Log ein Scriptaufruf, der nicht mit einem 404er abgeschmettert wurde. Dort würde ich weitersuchen und auch mal aktuelle Security-Warnings lesen.

Alternativ kannst Du Dein Apache-Mail-Programm (vermutlich der sendmail-wrapper von qmail) temporär mal durch ein Script ersetzen, das viel mitloggt, z.B. Umgebungsvariablen.
 
aw.

mailserver stilllegen .... phu und nun stellt euch mal n 3 jähriges kind vor dem ein univ prof dr etwas über quantenmechanik und dem plankschen wirkungsgrad erledigt ..... ich hab nen tag gebrauch um mir erst mal grundkenntnisse über SSH anzueignen und qmHandle zu installieren und zu kapieren

mailserver stoppen is noch nicht so das problen qmail-stop... nur is natürlich keine lösung auf dauer

wenn mir wer was erklärt dann so einfach wie möglich *fg*


gg

lg chris
 
spamproblem

hab jetzt erst mal eine domain stillgelegt die viel trafic verursacht... mal schaun ob das was bringt ... allein die logdatein hatten da über 700 MB
 
also wenn da eine Sicherheitslücke im Apache oder so verantwortlich war, dann bringt es nix eine Domain stillzulegen.

Ich kann dir nur empfehlen auf ein Hosting Paket oder Managed Server zu wechseln. Es ist verantwortungslos ohne geringste Linux Kenntnisse einen Server zu betreiben. Du kannst froh sein wenn dich keiner anzeigt. Du bist nämlich verantwortlich für die Sachen die auf deinem Server ablaufen. Aber zu diesem Thema gibt es hunderte Threads hier im Forum.
 
Back
Top