Spam über Postfix, from userid 30 wo bitte finde ich diesen User?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
sebastiankolbe
Posts: 31
Joined: 2004-05-17 17:03

Spam über Postfix, from userid 30 wo bitte finde ich diesen User?

Post by sebastiankolbe » 2006-03-10 10:28

Hallo,

ich habe folgendes problem ein User oder ein PHP Script versendet spam über den apache2 wwwrun.

Die User ID lautet 30 In Confixx gibt es aber keinen User 30 Wo bitte soll ich diese User ID finden?

Habt Ihr noch tipps wie ich den User finden kann der den Spam versendet oder das PHP file?

Ich habe schon User über confixx gespeert und dann postfix gestartet bringt aber nichts es geht gleich weiter mit dem SPam.

Post fix ist nartürlich gestopt.

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Spam über Postfix, from userid 30 wo bitte finde ich diesen User?

Post by chris76 » 2006-03-10 10:32

Code: Select all

cat /etc/passwd
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

geo
Posts: 42
Joined: 2005-02-24 11:44
Location: Hannover

Re: Spam über Postfix, from userid 30 wo bitte finde ich diesen User?

Post by geo » 2006-03-10 10:36

grep alle scriptfiles (.php .pl .cgi) nach "sendmail" und "smtp"

sebastiankolbe
Posts: 31
Joined: 2004-05-17 17:03

Re: Spam über Postfix, from userid 30 wo bitte finde ich diesen User?

Post by sebastiankolbe » 2006-03-10 10:46

Hallo,

user ist der apache2! Ich gehe mal davon aus das es ein script ist welches die spams versendet.

wenn ich grep eingebe erhalte ich tausende php files die diese smtp drin haben.

ich werde mal weiter suchen.

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spam über Postfix, from userid 30 wo bitte finde ich diesen User?

Post by rootsvr » 2006-03-10 11:33

Bist Du sicher das Du genug Anhnung für einen Rootserver hast? Das ist schon unterstes Basiswissen..

Zum ansichern von scripten nochmal die links aus dem anderen Thread.

Das global zu verhindern ist schwer, wenn alle User unter dem der Apache-UIG/GID laufen kann man das schuldige Script wohl am ehesten über koreelation apache.log/mail.log finden.

http://securephp.damonkohler.com/index. ... _Injection
oder alternativ: http://www.gerd-riesselmann.net/archive ... tact-forms