wwwrun verschickt unbekannte emails

Post by **funbad** » 2004-03-24 15:06

Vielleicht eine blöde Frage, aber wie kann ich sehen wenn wwwrun eine email verschickt welcher confixx-account via php die geschickt hat?
ich habe seit geraumer zeit nämlich ordentlichen email-traffic aufm server und ich weiß nicht vom wem.
Hier ist die entsprechende maillog. Man beachte den Anfang
http://publichost.de/mail

Ich habe keine Ahnung wie ich jetzt den wirklichen Absender rauskriege

Post by **wgot** » 2004-03-24 17:16

Hallo,

ziemlich sicher ein mißbrauchtes Mailscript. In den Apachelogs nachsehen, welches Script zu diesen Zeiten intensiv aufgerufen wird. Infos könnten auch in suexec.log und suphp.log stehen.

Alternative: open Proxy.

Fahr besser den Apache runter bis die Sache geklärt ist.

Gruß, Wolfgang

Post by **dodolin** » 2004-03-24 17:16

Gleiche die Uhrzeiten mit denen in deinen Apachen-Logs ab.
In Zukunft: Verwende suEXEC o.ä. für sämtliche Skripte auf dem Server!

Post by **funbad** » 2004-03-24 21:19

Hatte natürlich auch schon die Apache-Logs mir angeschaut. Allerdings im Umfang von einer Stunde keinen verdächtigen Zugriff gefunden.
Gibt es nicht irgendeine Möglichkeit mitzuloggen, welches PHP-Script um eine bestimmte Uhrzeit eine Mail verschickt?

Post by **Joe User** » 2004-03-24 21:23

Ja, Du musst dann allerdings PHP als CGI, statt Modul nutzen...

Post by **wgot** » 2004-03-24 21:32

Hallo,

alle Logfiles duchsucht? In /var/log/httpd und in /home/www/webX.

@Joe User: ich weis schon was Du meinst, aber auch beim Modul wird der Aufruf von xxx.php mit Referer in's Log geschrieben. Und wenn man den Scriptnamen hat kann man danach suchen.

Gruß, Wolfgang

Post by **rootmaster** » 2004-03-24 22:10

wenn php nicht als cgi verwendet werden soll:

1) suphp um die scripte unter userkennung laufen zu lassen

oder

2) in den entsprechenden vhost:

php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f userxy@domain.tld"

dann erscheint diese adresse in den logs ;)

(unter confixx mitt 'http spezial' einfügen)

"back to the roots"

Post by **funbad** » 2004-03-25 00:39

perfekt! die letzt lösung gefällt mir doch sehr

Post by **dodolin** » 2004-03-25 12:56

perfekt! die letzt lösung gefällt mir doch sehr

Nein, gar nicht perfekt.
Das gilt ja leider nur für PHP. Hat der User nen Perl-Skript, haste genau das gleiche Problem wieder.
Das ist nur Flickschusterei, behebt das Problem aber nicht wirklich nachhaltig.

Post by **rootmaster** » 2004-03-25 13:04

dodolin wrote:
perfekt! die letzt lösung gefällt mir doch sehr
Nein, gar nicht perfekt.
Das gilt ja leider nur für PHP. Hat der User nen Perl-Skript, haste genau das gleiche Problem wieder.
Das ist nur Flickschusterei, behebt das Problem aber nicht wirklich nachhaltig.

dodolin hat natürlich recht...
du solltest unbedingt cgis unter suexec ausführen lassen !! ;)

"back to the roots"

Post by **funbad** » 2004-03-25 18:18

ich bin ja nit vollkommen blöd :?
natürlich werden die perl-scripte und andere cgi-scripte mit suexec ausgeführt. nur php habe ich als mod_php drinne. und das soll eigentlich auch so bleiben.
und von daher funktioniert das ganz gut mit der für php geltenden lösung

vielen dank nochmal

RootForum Community

wwwrun verschickt unbekannte emails

wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails

Re: wwwrun verschickt unbekannte emails