hallo!
ich habe ein riesenproblem!
von meinem server gehen massig emails von wwwrun raus. es deutet also darauf hin, daß ein mailformular missbraucht wird.
nur: wie finde ich raus, welches skript das ganze auslöst???
in den httpd-logs steht nichts drin über irgendein skript, welches das hätte ausführen können.....
danke für eure hilfe
riesen spam-problem - bitte um schnelle hilfe
Re: riesen spam-problem - bitte um schnelle hilfe
Code: Select all
grep proxy /etc/apache2
grep mail /web/root
grep smtp /web/root
ps auxf
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: riesen spam-problem - bitte um schnelle hilfe
grep httpd
/etc/httpd/httpd.conf:LoadModule proxy_module
/etc/httpd/httpd.conf:#AddModule mod_proxy.c
muss das LoadModule proxy_module auch noch raus?
grep -r /home/www
liefert zig-tausende von einträgen
grep nach smtp liefert kein ergebnis
/etc/httpd/httpd.conf:LoadModule proxy_module
/etc/httpd/httpd.conf:#AddModule mod_proxy.c
muss das LoadModule proxy_module auch noch raus?
grep -r /home/www
liefert zig-tausende von einträgen
grep nach smtp liefert kein ergebnis
Re: riesen spam-problem - bitte um schnelle hilfe
1. Maßnahme: MTA abschalten!
LoadModule besser auch mal raus machen.
Und dann halt mal die Logs durchsuchen. Wenn man die Uhrzeiten von MTA- und Web-Log vergleicht, sollte man doch recht schnell rausfinden können, wo die Ursache liegt.
LoadModule besser auch mal raus machen.
Und dann halt mal die Logs durchsuchen. Wenn man die Uhrzeiten von MTA- und Web-Log vergleicht, sollte man doch recht schnell rausfinden können, wo die Ursache liegt.
Nochmal.
Nochmal den grep aufrufen, mit "-l" bekommst du eine Liste von Scripts, die du dir angucken kannst. Die eigentlichen Zeilen mit dem Aufruf von mail() (bei PHP) guckst du dir nachher an. :)
Jetzt gucke in die Apache-Logs, welche dieser gefundenen Scripts recht oft aufgerufen wird. Diese Scripte dann unter die Lupe nehmen. Dabei die Queries genauer anschauen. Bei den GETs steht der Query ja im Log. Beim POST nicht -- pech :(
Das proxy-Modul muss dann raus, wenn es missbraucht wird und du es nicht fixen kannst. Ob das _versucht_ wird, steht in den Apache-Logs mit "CONNECT 123.45.67.89:25" oder "POST http://123.45.67.89:25/". Solche Versuche gibt es eigentlich in jedem Apache-Log und das ist das Rauschen der Scanner ... Ob ein Versuch aber erfolgreich ist, kannst du entweder über einen Selbstversuch (nur wie?) oder das Abgrasen des Mailserver-Logs heraus finden (nach der gleichen Zeit und der IP suchen). Proxy-Modul-Mißbrauch sollte eigentlich nur noch mit veralteter Serversoftware/konfiguration erfolgreich sein.
Wenn du das proxy-Modul sowieso nicht brauchst, solltest du es sowieso heraus nehmen -- das spart Hauptspeicher.
Code: Select all
find /home/www -type f -name *.php -exec grep -rl mail( {} ;Das proxy-Modul muss dann raus, wenn es missbraucht wird und du es nicht fixen kannst. Ob das _versucht_ wird, steht in den Apache-Logs mit "CONNECT 123.45.67.89:25" oder "POST http://123.45.67.89:25/". Solche Versuche gibt es eigentlich in jedem Apache-Log und das ist das Rauschen der Scanner ... Ob ein Versuch aber erfolgreich ist, kannst du entweder über einen Selbstversuch (nur wie?) oder das Abgrasen des Mailserver-Logs heraus finden (nach der gleichen Zeit und der IP suchen). Proxy-Modul-Mißbrauch sollte eigentlich nur noch mit veralteter Serversoftware/konfiguration erfolgreich sein.
Wenn du das proxy-Modul sowieso nicht brauchst, solltest du es sowieso heraus nehmen -- das spart Hauptspeicher.
Re: riesen spam-problem - bitte um schnelle hilfe
vielen dank erstmal!
ich glaube ich habe die skripte, die das verursachen, gefunden.
bei
werden nur noch die mails angezeigt, deren auslieferung fehl geschlagen ist.
allerdings versucht sendmail das ja immer wieder.
kann ich irgendwie alle mails mit ctladdr=wwwrun aus der queue löschen?
und: wenn ich den proxy ausmachen will, dann muss ich doch beide module hier auskommentieren, oder?
ich glaube ich habe die skripte, die das verursachen, gefunden.
bei
Code: Select all
tail -f /var/log/mail
allerdings versucht sendmail das ja immer wieder.
kann ich irgendwie alle mails mit ctladdr=wwwrun aus der queue löschen?
und: wenn ich den proxy ausmachen will, dann muss ich doch beide module hier auskommentieren, oder?
Code: Select all
/etc/httpd/httpd.conf:LoadModule proxy_module
/etc/httpd/httpd.conf:#AddModule mod_proxy.c
Re: riesen spam-problem - bitte um schnelle hilfe
@dodolin: das ist es ja. es gibt keine einträge in maillog und apache-log, die in direktem zusammenhang stehen. aber der apache-log zeigt ja auch, wie jemand hier richtig erwähnte, nur GET an und nicht POST.
Re: riesen spam-problem - bitte um schnelle hilfe
Glaube ich dir nicht.es gibt keine einträge in maillog und apache-log, die in direktem zusammenhang stehen.
Die einzige Möglichkeit hierfür wäre, wenn direkt über deinen Apachen unter Umgehung deines MTA Spam verschickt würde. Da du aber deine Queue voll von unzustellbaren Spammails zu haben scheinst, ist das nicht der Fall. Da der User wwwrun ist, ist erwiesen, dass der Weg der Spams von deinem Apachen zu deinem MTA und dann zum Opfer ist. Wenn dieser Weg in dieser Art nicht geloggt wird, dann hast du noch ganz andere Probleme, weil du nicht mehr Herr deiner Kiste bist!
Re: riesen spam-problem - bitte um schnelle hilfe
ich glaube es war ein altes webmail-modul von phpnuke was jemand installiert hatte.
nachdem ich dies komplett gelöscht und die mailqueue geleert habe, scheint das problem nicht mehr zu bestehen.
danke euch!
nachdem ich dies komplett gelöscht und die mailqueue geleert habe, scheint das problem nicht mehr zu bestehen.
danke euch!
proxy raus
bei der ersten Zeile ein "#" vorne dran, die zweite Zeile ist ja schon ein Kommentar. Dann noch Apache-Restart.hamacher wrote:und: wenn ich den proxy ausmachen will, dann muss ich doch beide module hier auskommentieren, oder?
Code: Select all
/etc/httpd/httpd.conf:LoadModule proxy_module /etc/httpd/httpd.conf:#AddModule mod_proxy.c