Hilfe! Postfix verschickt SPAM mit Apache (wwwrun) als Absender

[danu]

Ja, d. h. du oder derjenige, der die Regeln erstellt hat, mußte genau wissen, was die Angriffe machen und wie sie aussehen, welche Zeichenketten in den Requests enthalten sind.

Ich denke, ich habe schon verstanden, wie RW das meint. Ist ja das selbe Problem, wie wenn man ein Antivirus Programm aktuell halten soll.
Wenn ich aber jetzt genau weiss, wie ein "zulässiger" Request für das und jenes Script auszusehen hat, dann kann ich doch ein Exception-Rule machen, welche beispielsweise das Argument "[[:space:]]*0x[0-9a-zA-Z]" enthält. Damit erreiche ich, dass alle Eingaben welche <>¦@#_%ç() enthalten, verworfen, und ein normaler deutscher Satz mit Zahlen und Leerzeichen verarbeitet wird. Das ist jetzt nur ein sehr vereinfachtes Beispiel, um zu zeigen, was ich meine.

@bfrackie
Ein Rule mit dem Argument "[Bcc]" würde es auch tun. Aber man kann ja auch im Absender

Absender

"im Empfänger" sollte es heissen

ass1@spam.com;ass2@spam.com;ass3@spam.com;ass4@spam.com;ass5@spam.com;ass6@spam.com; .... eintragen. Ich glaube, so wird das jeweils auch gemacht.

[ohgott]

[...]

ENDRESULTAT:

Wir fanden schliesslich den �?beltäter, haben die Seite des Kunden vom Netz genommen, und schon wars aus mit der Spammerei!! Dieser Kunde konnte aber wirklich nicht wissen, was er da für Schei**e gebaut hat!

Hallo,
habe exakt dasselbe Problem, überdas hier gesprochen wurde.
Allerdings gibt es eine Menge Scripte, die mit den beschriebenen GREPs rausgesucht werden. Kann mir jemand (villeicht schettlu..) näher beschreiben, wonach ich suchen muss?

[ohgott]

Hat sich erledigt...

Mehr Infos unter:
http://www.4ngel.net

[ohgott]

Ich überlege nur, welche Lösung die beste ist:

http://www.webhostgear.com/232.html

oder die erwähnte

http://gregmaclellan.com/blog/sendmail-wrapper/


Anmerkungen?

[danu]

Auf die Gefahr hin, mich zu wiederholen: mod_security installieren und sich ein paar Tage damit beschäftigen.

1. Gefährliche Scripts sind nicht mehr halb so gefährlich

2. Das Logfile erspart einem die ganze Sucherei nach dem Script "XY"

3. Gegen Scriptkidies und Zombieserver ein wirksamer Schutz.

Ein Wrapper ist doch nur der Knecht welcher dem nächsten Knecht sagt, dass er dem nächsten Knecht sagen soll ...

[ohgott]

Auf lange Sicht werde ich mir das mod_security mal anschauen, danke. Aber momentan ist mir nen Knecht dessen Arbeitsweise ich durchschaue lieber, als eine externe Sicherheitsfirma zu beauftragen, deren internen Strukturen man nicht kennt. (Um mal das Bild aufzugreifen..;)

[greenrover]

So also die idee mit dem wrapper ist sehr hilfreich und das mit dem scannen halte ich nicht imemr für ratsam... da z.B. auf vielen server sehr sehr viel drauf läuft...

Ich nutze nun:
http://www.webhostgear.com/232.html

Aber das ganze hat dne nachteil das beim /etc/init.d/sendmail start

das mit dem rc_status -v durch den wrapper nicht mehr funktioniert...

Kann dort jemand weiterhelfen ?!

[lord_pinhead]

Man kann auch Drecksack sein und eine Funktion zur Verfügung stellen für Kunden, die sich am Server anmeldet mit den Zugangsdaten des Kunden. Danach einfach mail bei den disabled_functions eintragen und ruhe is. Das erspart arbeit und bei Spamming schaltet man einfach die entsprechende Domain ab. Aber die Funktion sollte es ermöglichen nur 2 Mails pro Sekunde oder so zu senden, das dürfte echt simples PHP sein und jeder sollte das hinbekommen. Wenn es nicht sogar schon eine fertige Version im Netz gibt ;)

Edit: Ich wusste das ich sowas habe in meinen Beständen (ich brauch sowas wie ein DBFS weil ich nichts mehr finde): http://www.phpguru.org/downloads/smtp/s ... 0.5.tar.gz Eine eigene Klasse für den Spass :)

[greenrover]

das problem ist aber das wir viele kunden haben dir fertige scripte nutzen und man ja die funktion mail() in php nicht so einfach überschreiben kann und die sperre von 2 sec kommt da auch nicht so gut.

Also drecksack sein geht bei mir nicht....
mein cheff steht da mehr auf kundenfreundlichkeit ....

also muss ich den wrapper irgent wie angepasst bekommen...

giebt es keine möglichkeit der sendmail.hidden datei durch den wrapper durch zu schleusen ?!

bzw würde es eigentlich was bringen das sendmail startscript direkt auf die senmail.hidden zu legen oder würde das den wrapper wieder volständig ausen vor lassen ?!

[lord_pinhead]

Tja, dann erklär deinen Chef das es nicht gerade intelligent ist so zu verfahren. Aber irgendwoher kenn ich das ;) Nachdem allerdings dann jemand auch mal auf der Kiste zu werkeln begann (irgendein Itaker) hatte ich freie hand was sowas. Aber ein Wrapper kommt auf langzeit auch nicht gut, sobald einer mehr mails pro stunde verschicken will als er darf wird es kritisch.