massenspam per php

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
marc75
Posts: 6
Joined: 2004-11-09 08:44

massenspam per php

Post by marc75 » 2005-06-10 08:58

Hallo Leute,

ich habe heute von einem Provider eine mail bekommen das über einem Server von denen massiv Spammails versendet wird.
Laut deren Aussage liegt es an einem formmailscript eines Kunden, nun sollen alle Ihre Scripts checken und das script entfernen ansonsten wird die mailfunktion in php deaktiviert.

Sagt mal kann man das besagte script nicht als admin (provider) irgendwie feststellen? Denn finde es eigentlich nicht ok alle zu bestrafen.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: massenspam per php

Post by Joe User » 2005-06-10 09:36

marc75 wrote:Sagt mal kann man das besagte script nicht als admin (provider) irgendwie feststellen?
können != dürfen
marc75 wrote:Denn finde es eigentlich nicht ok alle zu bestrafen.
YGWYPF
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: massenspam per php

Post by flo » 2005-06-10 10:16

Joe User wrote:
marc75 wrote:Sagt mal kann man das besagte script nicht als admin (provider) irgendwie feststellen?
können != dürfen
Davon mal abgesehen, daß der Traffic als Kostenfaktor niemanden wirklich mehr interessiert, wäre das leichter, wenn php per cgi ausgeführt wird und man so wenigstens den absendenden User im Return-Path hätte.

Und die Arbeit, alle auf dem Server befindlichen Scripte zu testen, würde ich mir auch nicht machen wollen.
Joe User wrote: YGWYPF
mal was neues, hab ich auch mal googeln dürfen. ;-)

Grüße,

flo.

marc75
Posts: 6
Joined: 2004-11-09 08:44

Re: massenspam per php

Post by marc75 » 2005-06-10 12:17

Und die Arbeit, alle auf dem Server befindlichen Scripte zu testen, würde ich mir auch nicht machen wollen.
dachte da eher sowas wie die logs oder so.


YGWYPF steht für billig oder? naja mir persönlich solls egal sein, ist eh nur eine Backlinkseite für google ohne einen sonstigen Nutzen.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: massenspam per php

Post by dodolin » 2005-06-10 19:04

Solange der Provider nur Logs und Co. durchsieht und nicht die einzelnen Skripte seiner Kunden anschaut, sehe ich kein rechtliches Problem. Und wenn der Provider nicht wirklich unfaehig ist, dann sollte es - geeignetes Setup auf Providerseite vorausgesetzt - ein leichtes sein, anhand der Logs herauszufinden, wer der Uebeltaeter ist. Scheint wohl eine Klitsche zu sein. (Nein, den Namen bitte nicht nennen.)

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: massenspam per php

Post by flo » 2005-06-11 02:37

Ich hatte so ein ähnliches Problem neulich auch bei mir - prinzipiell ist es einfach ... Serverzeit der Mail nehmen und in den Apache-Logs greppen.

Aber er weiß schon, wie der Provider sein Zeugs installiert hat - Schwierigkeiten kann es dann zuhauf geben.

flo.

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: massenspam per php

Post by danu » 2005-06-20 11:50

Hatte ende Januar 2005 das gleiche Problem. Innert ein paar Stunden
über 300'000 Spams von meinem Server versendet (S&P, qmail), vom user apache (anonymous@xxxxxxrootmaster.info) als Sofortmassname half 'chmod 554 qmail-inject'.
Einer meiner Kunden hatte (...) phpNuke mit aktivierter mailfunktion installiert. Darauf gestossen bin ich eher zufällig - 2 Monate später, als ich
MySQL updatet hatte und stichprobeweise überprüfte, ob alle Daten noch da sind. Da stiess ich auf ein paar Namen, welche in den Spams als Absender standen.

können != dürfen das sehe ich auch so.

Aber im Notfall:
müssen == müssen :oops:

hatte gegen 200 Homepages durchgecheckt (mit Internetbrowser) und dort wo ich ein 'verdächtiges' Script vermutete, mit dem Webmin-Dateimanager genauer hingeschaut, und die betroffenen Kunden inform iert und den Wechsel auf alternative und sichere mailforms empfohlen.