Wie kann ich ein Spamskript auf meiner Webseite finden?

[franc]

Hallo,

ein Freund von mir hat folgendes Problem:

er hat auf seiner Webseite einen Webshop (xt-commerce) mit PHP laufen, aber keinen Rootzugriff oder Zugriff auf Mailserverlogfiles, da es ein "ganz normales" Webseitenangebot von strato ist.

Jetzt bekommt er plötzlich viele Spammailrückläufe (wg. abgelehntem Spam) von Mailer Daemons mit Absender seines webshops und befürchtet, dass auf seiner Seite ein Skript für heimlichen Spamversand läuft.

Wie kriegt man da nun raus, ob sowas läuft, wenn man nun gar keinen root-Zugriff oder Logfiles des Mailservers hat?

Gruß, franc

 

[d4f]

Ein Backup vom Webspace ziehen (auch versteckte Dateien anzeigen lassen!) und auf mail() und eval() durchsuchen, sowie eventuell fsockopen(), stream_socket_client() und socket_create()

Eventuell hast du jedoch Glueck und die Header der versendeten Email beinhaltet den Pfad des sendenden Skriptes (was oft von Hoster aus eben diesem Zweck aktiviert wird)

Beachte allerdings dass man sich auch berechtigt fragen muss WIE die Datei rauf kommen konnte respektiv WIESO es dem Spammer gelang Mails ueber DEINEN Webspace zu schicken. Ganz oft ist ein mittels Trojaner gefanges FTP-Login oder eine veraltete Version eines Programmes auf dem Webspaces schuld. In beiden Faellen wird die Entfernung der Datei das Problem nicht beheben.

Analysiere aber ob es sich nicht einfach um Backscattering handelt (also das Versenden des Spams unter falschem Namen an Server A der dann im Glauben dass er gutes tut Server B benachrichtigt.) Die im Header enthaltene IP des Absenders sollte darueber Aufschluss geben sofern die IP des angegeben "Hotmail" ueberhaupt stimmt

Interessant ist dass du Zeit hast im Forum nach Antworten zu fragen ohne dass dein Hoster sich bei dir meldet oder das Konto kurzerhand sperrt. Ich nehme mal an dass er mittlerweile in den Spam-Blacklists steht...

 

[Roger Wilco]

Wie kriegt man da nun raus, ob sowas läuft, wenn man nun gar keinen root-Zugriff oder Logfiles des Mailservers hat?

Ab PHP 5.3 gibt es die praktische Option mail.add_x_header, um fehlerhafte bzw. missbrauchte Skripte zu identifizieren.

 

[d4f]

Das funktioniert aber nur wenn er Zugriff auf die php.ini oder eine diese global/ueber mehrere Ordner beinflussende Datei hat.

 

[franc]

...Interessant ist dass du Zeit hast im Forum nach Antworten zu fragen ...

Es ist doch nicht mein Webserver. Meinen hab ich einigermassen im Griff

Also danke für die Tipps, ich werde es ihm erklären.

 

[d4f]

Es war nicht auf den Fakt dass du in einem Forum nach Hilfe fragst sondern darauf dass dein Hoster es scheinbar nicht merkt bezogen

 

[franc]

...dass dein Hoster es scheinbar nicht merkt...

Der Hoster meines Freundes. Ja das spricht eigentlich gegen eine Spamschleuder, denke ich.

Er meinte übrigens, er habe letzte Woche 3 dieser Bounces und heute 5 gewesen, so viel sind das nicht.
Aber man kann ja nie wissen.

 

[Roger Wilco]

Das funktioniert aber nur wenn er Zugriff auf die php.ini oder eine diese global/ueber mehrere Ordner beinflussende Datei hat.

Die meisten Massenhoster haben PHP so konfiguriert, dass eine lokal vorhandene php.ini Datei ausgewertet wird. Falls PHP als Apache httpd-Modul läuft, kann diese Einstellung in einer .htaccess Datei geändert werden. Ansonsten gibt es ab PHP 5.3 auch die Möglichkeit, eine .user.ini Datei zu nutzen.