Procmail + Spamassassin + Server gehackt?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
jay-zi
Posts: 13
Joined: 2003-12-05 17:59
Location: HH

Procmail + Spamassassin + Server gehackt?

Post by jay-zi » 2004-06-12 19:25

Hallo liebe Leute.

Mir zittern etwas die Hände, deswegen könnten die Buchstaben etwas unleserlich werden. Ich geb mein Bestes...

Ich habe eben auf meinem 1&1-Rootserver in die /var/log/procmail geschaut und dabei etwas entdeckt, was mir gar nicht gefällt:

<--Auszug Anfang
From x Sat Jun 12 19:04:11 2004
Subject:
Folder: /var/spool/mail/web1p6 2325
Cannot write to /metallica/.spamassassin/user_prefs: No such file or directory
Failed to create default user preference file /metallica/.spamassassin/user_prefs
Cannot write to /metallica/.spamassassin/user_prefs: No such file or directory
Failed to create default user preference file /metallica/.spamassassin/user_prefs
-->Auszug Ende

Nun, es handelt sich hier wohl um eine Fehlermeldung von Spamassassin. Schlussfolgernd daraus, versucht Spamassassin für einen Benutzer "metallica" Voreinstellungs-Dateien anzulegen, was aber wohl misslingt.

Das Problem hierbei ist aber ein anderes: AUF MEINEM SERVER GIBT ES KEINEN BENUTZER NAMENS "metallica". Zumindest nicht wissentlich.

Da ich nun leider (ich höre euch schon schreien) kein Linux-Profi bin, weiß ich nicht, was ich tun kann, um herauszufinden, ob mein Server gehackt wurde, oder ob es eine bessere Erklärung gibt.

Könnt Ihr mir helfen?

Herzliche Grüße
Jörg

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Procmail + Spamassassin + Server gehackt?

Post by adjustman » 2004-06-12 22:54

jay-zi wrote: ... AUF MEINEM SERVER GIBT ES KEINEN BENUTZER NAMENS "metallica".
nee, aber wahrscheinlich einen Ordner mit diesem Namen ... :) Zeig mal die procmailrc

jay-zi
Posts: 13
Joined: 2003-12-05 17:59
Location: HH

Re: Procmail + Spamassassin + Server gehackt?

Post by jay-zi » 2004-06-13 09:08

Guten Morgen.

Ich hatte mir die procmailrc auch schon angeschaut, aber dort keinen Hinweis finden können. Das muss natürlich nichts heißen... ;)

<--/etc/procmailrc
LOGFILE=/var/log/procmail.log
DROPPRIVS=yes

:0fw
| /usr/bin/spamassassin -a

:0
* ^X-Spam-Status: Yes
! xxx@gmx.de
-->

Schönen Sonntag noch
Jörg

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Procmail + Spamassassin + Server gehackt?

Post by adjustman » 2004-06-13 17:56

@jay-zi

und? gibts den ordner /metallica/.spamassassin/ ?

jay-zi
Posts: 13
Joined: 2003-12-05 17:59
Location: HH

Re: Procmail + Spamassassin + Server gehackt?

Post by jay-zi » 2004-06-13 18:11

Hi adjustMan.

Nein, den Ordner gibts nicht.

In der procmail.log tauchen die Fehlermeldungen von Spamassassin bei jeder zuzustellenden E-Mail auf, egal ob diese lokal gespeichert oder nach Extern weitergeleitet wird.

Ich habe auch schon mit yast2 die eingerichteten Benutzer aufgerufen. Aufgeführt sind aber nur die Standardbenutzer, die Confixx eingerichtet hat (webx,webxpx etc.). Also auch dort kein Hinweis auf einen eingeschlichenen Störenfried. Gibt es außerhalb yast2 noch eine weitere Benutzerverwaltung, wo man andere Benutzer einrichten bzw. löschen kann?

Gruß
Jörg