riesen spam-problem - bitte um schnelle hilfe

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
hamacher
Posts: 6
Joined: 2005-03-01 21:42

riesen spam-problem - bitte um schnelle hilfe

Post by hamacher » 2005-03-01 21:44

hallo!

ich habe ein riesenproblem!

von meinem server gehen massig emails von wwwrun raus. es deutet also darauf hin, daß ein mailformular missbraucht wird.

nur: wie finde ich raus, welches skript das ganze auslöst???

in den httpd-logs steht nichts drin über irgendein skript, welches das hätte ausführen können.....


danke für eure hilfe

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: riesen spam-problem - bitte um schnelle hilfe

Post by Joe User » 2005-03-01 21:58

Code: Select all

grep proxy /etc/apache2
grep mail /web/root
grep smtp /web/root
ps auxf
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

hamacher
Posts: 6
Joined: 2005-03-01 21:42

Re: riesen spam-problem - bitte um schnelle hilfe

Post by hamacher » 2005-03-01 22:03

grep httpd

/etc/httpd/httpd.conf:LoadModule proxy_module
/etc/httpd/httpd.conf:#AddModule mod_proxy.c

muss das LoadModule proxy_module auch noch raus?

grep -r /home/www

liefert zig-tausende von einträgen

grep nach smtp liefert kein ergebnis

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: riesen spam-problem - bitte um schnelle hilfe

Post by dodolin » 2005-03-02 00:29

1. Maßnahme: MTA abschalten!

LoadModule besser auch mal raus machen.

Und dann halt mal die Logs durchsuchen. Wenn man die Uhrzeiten von MTA- und Web-Log vergleicht, sollte man doch recht schnell rausfinden können, wo die Ursache liegt.

kawfy
Posts: 307
Joined: 2002-08-08 23:45

Nochmal.

Post by kawfy » 2005-03-02 00:48

Nochmal den grep aufrufen, mit "-l" bekommst du eine Liste von Scripts, die du dir angucken kannst. Die eigentlichen Zeilen mit dem Aufruf von mail() (bei PHP) guckst du dir nachher an. :)

Code: Select all

find /home/www -type f -name *.php -exec grep -rl mail( {} ;
Jetzt gucke in die Apache-Logs, welche dieser gefundenen Scripts recht oft aufgerufen wird. Diese Scripte dann unter die Lupe nehmen. Dabei die Queries genauer anschauen. Bei den GETs steht der Query ja im Log. Beim POST nicht -- pech :(

Das proxy-Modul muss dann raus, wenn es missbraucht wird und du es nicht fixen kannst. Ob das _versucht_ wird, steht in den Apache-Logs mit "CONNECT 123.45.67.89:25" oder "POST http://123.45.67.89:25/". Solche Versuche gibt es eigentlich in jedem Apache-Log und das ist das Rauschen der Scanner ... Ob ein Versuch aber erfolgreich ist, kannst du entweder über einen Selbstversuch (nur wie?) oder das Abgrasen des Mailserver-Logs heraus finden (nach der gleichen Zeit und der IP suchen). Proxy-Modul-Mißbrauch sollte eigentlich nur noch mit veralteter Serversoftware/konfiguration erfolgreich sein.

Wenn du das proxy-Modul sowieso nicht brauchst, solltest du es sowieso heraus nehmen -- das spart Hauptspeicher.

hamacher
Posts: 6
Joined: 2005-03-01 21:42

Re: riesen spam-problem - bitte um schnelle hilfe

Post by hamacher » 2005-03-02 09:43

vielen dank erstmal!

ich glaube ich habe die skripte, die das verursachen, gefunden.

bei

Code: Select all

tail -f /var/log/mail
werden nur noch die mails angezeigt, deren auslieferung fehl geschlagen ist.

allerdings versucht sendmail das ja immer wieder.

kann ich irgendwie alle mails mit ctladdr=wwwrun aus der queue löschen?


und: wenn ich den proxy ausmachen will, dann muss ich doch beide module hier auskommentieren, oder?

Code: Select all

/etc/httpd/httpd.conf:LoadModule proxy_module
/etc/httpd/httpd.conf:#AddModule mod_proxy.c 

hamacher
Posts: 6
Joined: 2005-03-01 21:42

Re: riesen spam-problem - bitte um schnelle hilfe

Post by hamacher » 2005-03-02 09:49

@dodolin: das ist es ja. es gibt keine einträge in maillog und apache-log, die in direktem zusammenhang stehen. aber der apache-log zeigt ja auch, wie jemand hier richtig erwähnte, nur GET an und nicht POST.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: riesen spam-problem - bitte um schnelle hilfe

Post by dodolin » 2005-03-02 12:30

es gibt keine einträge in maillog und apache-log, die in direktem zusammenhang stehen.
Glaube ich dir nicht.

Die einzige Möglichkeit hierfür wäre, wenn direkt über deinen Apachen unter Umgehung deines MTA Spam verschickt würde. Da du aber deine Queue voll von unzustellbaren Spammails zu haben scheinst, ist das nicht der Fall. Da der User wwwrun ist, ist erwiesen, dass der Weg der Spams von deinem Apachen zu deinem MTA und dann zum Opfer ist. Wenn dieser Weg in dieser Art nicht geloggt wird, dann hast du noch ganz andere Probleme, weil du nicht mehr Herr deiner Kiste bist!

hamacher
Posts: 6
Joined: 2005-03-01 21:42

Re: riesen spam-problem - bitte um schnelle hilfe

Post by hamacher » 2005-03-02 12:33

ich glaube es war ein altes webmail-modul von phpnuke was jemand installiert hatte.

nachdem ich dies komplett gelöscht und die mailqueue geleert habe, scheint das problem nicht mehr zu bestehen.

danke euch!

kawfy
Posts: 307
Joined: 2002-08-08 23:45

proxy raus

Post by kawfy » 2005-03-03 00:27

hamacher wrote:und: wenn ich den proxy ausmachen will, dann muss ich doch beide module hier auskommentieren, oder?

Code: Select all

/etc/httpd/httpd.conf:LoadModule proxy_module
/etc/httpd/httpd.conf:#AddModule mod_proxy.c
bei der ersten Zeile ein "#" vorne dran, die zweite Zeile ist ja schon ein Kommentar. Dann noch Apache-Restart.