RootForum Community

hallo!

ich habe ein riesenproblem!

von meinem server gehen massig emails von wwwrun raus. es deutet also darauf hin, daß ein mailformular missbraucht wird.

nur: wie finde ich raus, welches skript das ganze auslöst???

in den httpd-logs steht nichts drin über irgendein skript, welches das hätte ausführen können.....


danke für eure hilfe

grep httpd

/etc/httpd/httpd.conf:LoadModule proxy_module
/etc/httpd/httpd.conf:#AddModule mod_proxy.c

muss das LoadModule proxy_module auch noch raus?

grep -r /home/www

liefert zig-tausende von einträgen

grep nach smtp liefert kein ergebnis

1. Maßnahme: MTA abschalten!

LoadModule besser auch mal raus machen.

Und dann halt mal die Logs durchsuchen. Wenn man die Uhrzeiten von MTA- und Web-Log vergleicht, sollte man doch recht schnell rausfinden können, wo die Ursache liegt.

Nochmal den grep aufrufen, mit "-l" bekommst du eine Liste von Scripts, die du dir angucken kannst. Die eigentlichen Zeilen mit dem Aufruf von mail() (bei PHP) guckst du dir nachher an. :)
Jetzt gucke in die Apache-Logs, welche dieser gefundenen Scripts recht oft aufgerufen wird. Diese Scripte dann unter die Lupe nehmen. Dabei die Queries genauer anschauen. Bei den GETs steht der Query ja im Log. Beim POST nicht -- pech :(

Das proxy-Modul muss dann raus, wenn es missbraucht wird und du es nicht fixen kannst. Ob das _versucht_ wird, steht in den Apache-Logs mit "CONNECT 123.45.67.89:25" oder "POST http://123.45.67.89:25/". Solche Versuche gibt es eigentlich in jedem Apache-Log und das ist das Rauschen der Scanner ... Ob ein Versuch aber erfolgreich ist, kannst du entweder über einen Selbstversuch (nur wie?) oder das Abgrasen des Mailserver-Logs heraus finden (nach der gleichen Zeit und der IP suchen). Proxy-Modul-Mißbrauch sollte eigentlich nur noch mit veralteter Serversoftware/konfiguration erfolgreich sein.

Wenn du das proxy-Modul sowieso nicht brauchst, solltest du es sowieso heraus nehmen -- das spart Hauptspeicher.

vielen dank erstmal!

ich glaube ich habe die skripte, die das verursachen, gefunden.

bei
werden nur noch die mails angezeigt, deren auslieferung fehl geschlagen ist.

allerdings versucht sendmail das ja immer wieder.

kann ich irgendwie alle mails mit ctladdr=wwwrun aus der queue löschen?


und: wenn ich den proxy ausmachen will, dann muss ich doch beide module hier auskommentieren, oder?

@dodolin: das ist es ja. es gibt keine einträge in maillog und apache-log, die in direktem zusammenhang stehen. aber der apache-log zeigt ja auch, wie jemand hier richtig erwähnte, nur GET an und nicht POST.

es gibt keine einträge in maillog und apache-log, die in direktem zusammenhang stehen.

Glaube ich dir nicht.

Die einzige Möglichkeit hierfür wäre, wenn direkt über deinen Apachen unter Umgehung deines MTA Spam verschickt würde. Da du aber deine Queue voll von unzustellbaren Spammails zu haben scheinst, ist das nicht der Fall. Da der User wwwrun ist, ist erwiesen, dass der Weg der Spams von deinem Apachen zu deinem MTA und dann zum Opfer ist. Wenn dieser Weg in dieser Art nicht geloggt wird, dann hast du noch ganz andere Probleme, weil du nicht mehr Herr deiner Kiste bist!

ich glaube es war ein altes webmail-modul von phpnuke was jemand installiert hatte.

nachdem ich dies komplett gelöscht und die mailqueue geleert habe, scheint das problem nicht mehr zu bestehen.

danke euch!

hamacher wrote:und: wenn ich den proxy ausmachen will, dann muss ich doch beide module hier auskommentieren, oder?

Code: Select all

/etc/httpd/httpd.conf:LoadModule proxy_module
/etc/httpd/httpd.conf:#AddModule mod_proxy.c

bei der ersten Zeile ein "#" vorne dran, die zweite Zeile ist ja schon ein Kommentar. Dann noch Apache-Restart.