Page 1 of 1
wwwrun verschickt unbekannte emails
Posted: 2004-03-24 15:06
by funbad
Vielleicht eine blöde Frage, aber wie kann ich sehen wenn wwwrun eine email verschickt welcher confixx-account via php die geschickt hat?
ich habe seit geraumer zeit nämlich ordentlichen email-traffic aufm server und ich weiß nicht vom wem.
Hier ist die entsprechende maillog. Man beachte den Anfang
http://publichost.de/mail
Ich habe keine Ahnung wie ich jetzt den wirklichen Absender rauskriege
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-24 17:16
by wgot
Hallo,
ziemlich sicher ein mißbrauchtes Mailscript. In den Apachelogs nachsehen, welches Script zu diesen Zeiten intensiv aufgerufen wird. Infos könnten auch in suexec.log und suphp.log stehen.
Alternative: open Proxy.
Fahr besser den Apache runter bis die Sache geklärt ist.
Gruß, Wolfgang
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-24 17:16
by dodolin
Gleiche die Uhrzeiten mit denen in deinen Apachen-Logs ab.
In Zukunft: Verwende suEXEC o.ä. für sämtliche Skripte auf dem Server!
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-24 21:19
by funbad
Hatte natürlich auch schon die Apache-Logs mir angeschaut. Allerdings im Umfang von einer Stunde keinen verdächtigen Zugriff gefunden.
Gibt es nicht irgendeine Möglichkeit mitzuloggen, welches PHP-Script um eine bestimmte Uhrzeit eine Mail verschickt?
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-24 21:23
by Joe User
Ja, Du musst dann allerdings PHP als CGI, statt Modul nutzen...
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-24 21:32
by wgot
Hallo,
alle Logfiles duchsucht? In /var/log/httpd und in /home/www/webX.
@Joe User: ich weis schon was Du meinst, aber auch beim Modul wird der Aufruf von xxx.php mit Referer in's Log geschrieben. Und wenn man den Scriptnamen hat kann man danach suchen.
Gruß, Wolfgang
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-24 22:10
by rootmaster
wenn php nicht als cgi verwendet werden soll:
1) suphp um die scripte unter userkennung laufen zu lassen
oder
2) in den entsprechenden vhost:
dann erscheint diese adresse in den logs ;)
(unter confixx mitt 'http spezial' einfügen)
"back to the roots"
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-25 00:39
by funbad
perfekt! die letzt lösung gefällt mir doch sehr
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-25 12:56
by dodolin
perfekt! die letzt lösung gefällt mir doch sehr
Nein, gar nicht perfekt.
Das gilt ja leider nur für PHP. Hat der User nen Perl-Skript, haste genau das gleiche Problem wieder.
Das ist nur Flickschusterei, behebt das Problem aber nicht wirklich nachhaltig.
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-25 13:04
by rootmaster
dodolin wrote:perfekt! die letzt lösung gefällt mir doch sehr
Nein, gar nicht perfekt.
Das gilt ja leider nur für PHP. Hat der User nen Perl-Skript, haste genau das gleiche Problem wieder.
Das ist nur Flickschusterei, behebt das Problem aber nicht wirklich nachhaltig.
dodolin hat natürlich recht...
du solltest unbedingt cgis unter suexec ausführen lassen !! ;)
"back to the roots"
Re: wwwrun verschickt unbekannte emails
Posted: 2004-03-25 18:18
by funbad
ich bin ja nit vollkommen blöd :?
natürlich werden die perl-scripte und andere cgi-scripte mit suexec ausgeführt. nur php habe ich als mod_php drinne. und das soll eigentlich auch so bleiben.
und von daher funktioniert das ganz gut mit der für php geltenden lösung
vielen dank nochmal