VServer verschickt Spam Mails

[][schlumpf][]

Ich habe auf meinem Vserver als Betriebssystem Debian 3.1 (sarge drauf. und habe als Mail Program Postfixx.
Ich bekomme von meinem Support emails das von meinem Vserver Spam Mails verschickt werden. Postfixx habe ich bereits gestopt. Und ich habe soweit alle Scripte auf dem Server gelöscht. Aber es wird weiter gespamt. Wo kann ich diese Mails finden oder die User die angelegt worden sin. Ich habe auch bereits den VServer neu Installiert aber es bringt nix. Das Problem bleibt.

Hier mal ein auszug aus einer Mail von meinem Support

Code: Select all

[ SpamCop V1.582 ]
This message is brief for your comfort.  Please use links below for details.

Email from 84.16.238.70 / Mon, 26 Jun 2006 11:01:35 -0400 http://www.spamcop.net/w3m?i=z1813309290zf4d04fc774a6c8c2b13ef4080590a28fz

[ Offending message ]
X-From_: www-data@vs8401.vserver4free.de  Mon Jun 26 11:01:37 2006
X-Envelope-From: www-data@vs8401.vserver4free.de
Return-Path: <www-data@vs8401.vserver4free.de>
Received: from vs8401.vserver4free.de (dead-or-live.de [84.16.238.70])
	by mail37c2.megamailservers.com (8.13.6.20060614/8.13.1) with ESMTP id  k5QF1YEH015293 for <x>; Mon, 26 Jun 2006 11:01:35 -0400
Received: by vs8401.vserver4free.de (Postfix, from userid 33)
	id 90C985AC86; Mon, 26 Jun 2006 17:01:20 +0200 (CEST)
To: x
Subject: quake erupted project(reply asap)
From: Mr Karl <karlleechung@yahoo.com.hk>
Reply-To: karlee_chung@yahoo.com.hk
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Message-Id: <2006_________________AC86@vs8401.vserver4free.de>
Date: Mon, 26 Jun 2006 17:01:20 +0200 (CEST)


-----Original Message-----
From: Mr Karl [mailto:karlleechung@yahoo.com.hk]
Sent: Monday, June 26, 2006 10:01 AM
To: x
Subject: quake erupted project(reply asap)

>From Mr. Karl Lee Chung.

Leider kan ich damit gar nix anfangen und auch bei meinen logs komme ich nicht klar. Es wäre echt nett von euch wenn mir da einer helfen könnte

[][schlumpf][]

so ich habe mal postqueue -p ales ansehen lassen, es rennt wie blöd un nimt kein ende, was ich aber sehen kann das da nur http://www.data steht. Was auch die ursache ist bzw wovon die mail verschikt werden. Wie kann ich den postqueue leeren ?

so nun ist er fertig hier die lezten zeilen

Code: Select all

F04AE5D849     2486 Sun Jul  2 09:20:24  www-data@vs8401.vserver4free.de
(host mx3.mail.yahoo.com[4.79.181.12] said: 451 VS5-MF Excessive unknown recipients - possible Open Relay http://help.yahoo.com/help/us/mail/spam/spam-18.html (#4.4.5) 84.16.238.70 (in reply to MAIL FROM command))
                                         bar_t1@yahoo.com

-- 359385 Kbytes in 96203 Requests.
vs8401:~# postfix -p

[oxygen]

die queue liegt in /var/spool/postfix am einfachsten leerst du ganze Verzeichnis, gibt aber möglicherweise kolloteral Schaden...

Verschickt wurde der Spam wohl über ein Script (zu sehen an www-data)

[][schlumpf][]

wo kann man dieses script finden ?

in var/spool/postfix habe ich mehere verzeichniss welche dar ich da löschen oder lkerren

[flo]

Du solltest erstmal schleuningst den Apache runterfahren - danach helfen Dir die Apache-Logfiles - wenn der Postfix so rennt, wird Dir das Script relativ schnell auffallen.

flo.

EDIT:
Mails löschen: postsuper -d <ID>
Mails anzeigen: mailq oder postqueue
Beides: postqueue -p | grep "<geeigneter Suchtext>" | awk '{ print $1 }' | while read QUID; do postsuper -d $QUID; done;

[wgot]

Hallo,

Postfixx habe ich bereits gestopt.

dann wird er jetzt nix mehr verschicken.

Und ich habe soweit alle Scripte auf dem Server gelöscht.
Ich habe auch bereits den VServer neu Installiert aber es bringt nix. Das Problem bleibt.

Neu installiert und die alten Scripte wieder aufgespielt? Das nützt nix.

Du solltest einen Relaytest machen, dazu mußt Du Postfix aber kurz wieder aktivieren (vorher die Queue löschen):
http://www.abuse.net/relay.html

Außerdem einen Proxytest (hab ich gerade gemacht, ich nehme an, 84.16.238.70 ist Deine IP, darauf läuft zumindest auf Port 80 kein Proxy).

Ich würde den Vserver nochmal neu installieren und die Scripte nicht mehr aufspielen, dann sollte Ruhe sein und Du kannst die Fehler in den Scripten suchen. Häufig sitzen die in oder bei dem Befehl include().

Code: Select all

cd /home/htdocs # oder wo Deine Homepages liegen
grep -ir 'include' *
grep -ir 'mail' *

PS: massiven Spamversand erkennt man oft schon daran, daß die Mail-Logfiles ungewöhnlich schnell wachsen.

Gruß, Wolfgang

[][schlumpf][]

ok werde ich mal mache aber wie lösche ich die Queue ??
Es ist da sau voll drin mus ich jede ID einzeln löschen

[][schlumpf][]

naja mit der log komme ich nicht klar, apache und postfix sind aus. nun bin ich im Ordner /var/logs/apache2/dort habe ich acces.log die leer ist und eine error.log wo ich nicht durchblike. Ich habe auf dem Server PHPNUKE drauf und da kan ich lange suchen da dort viele files sind

ps wie ist mein avuse passwort, bzw wie und wo kann ich mich da anmelden um ein pw zu machen

[Roger Wilco]

ok werde ich mal mache aber wie lösche ich die Queue ??

`postsuper -d ALL` -> `man postsuper`

nun bin ich im Ordner /var/logs/apache2/dort habe ich acces.log die leer ist und eine error.log wo ich nicht durchblike.

Das richtige Access Log ist interessant. Schau in deiner Apache-Konfiguration nach, wohin die Einträge für die betreffende Domain/den VirtualHost geloggt wird.

Ich habe auf dem Server PHPNUKE drauf

Das solltest du schnell ändern. *Nuke ist böse[tm].

ps wie ist mein avuse passwort, bzw wie und wo kann ich mich da anmelden um ein pw zu machen

Du brauchst kein Passwort. Nur Host angeben und fertig.

[][schlumpf][]

So nun habe ich den Vserver komplet neu installiert, und es ist da nix drauf ausser das Betriesystem halt. Aber mit deb Mails das geht anscheinend weiter. Allso wird es nicht an meiner Page oder Scripten liegen. Da nun ja eigendlich keine Scripte oder Page mehr auf dem Server sind

mail.log

Code: Select all

Jul  3 02:11:48 vs8401 postfix/smtpd[24068]: timeout after END-OF-MESSAGE from smtpusa.quark.com[206.195.78.111]
Jul  3 02:11:48 vs8401 postfix/smtpd[24068]: disconnect from smtpusa.quark.com[206.195.78.111]
Jul  3 02:17:04 vs8401 postfix/smtpd[25295]: connect from acuden.gobierno.pr[64.185.194.71]
Jul  3 02:17:05 vs8401 postfix/smtpd[25295]: 42DC857951: client=acuden.gobierno.pr[64.185.194.71]
Jul  3 02:17:05 vs8401 postfix/cleanup[25347]: 42DC857951: message-id=<e7BBU90cr0000002f@applicationsrvr.acuden.local>
Jul  3 02:17:05 vs8401 postfix/qmgr[21792]: 42DC857951: from=<>, size=3130, nrcpt=1 (queue active)
Jul  3 02:17:06 vs8401 postfix/local[25349]: 42DC857951: to=<no@vs8401.vserver4free.de>, orig_to=<www-data@vs8401.vserver4free.de>, relay=local, delay=2, status=bounced (unknown user: "no")
Jul  3 02:17:06 vs8401 postfix/qmgr[21792]: 42DC857951: removed
Jul  3 02:17:06 vs8401 postfix/smtpd[25295]: A759257951: client=acuden.gobierno.pr[64.185.194.71]
Jul  3 02:17:07 vs8401 postfix/cleanup[25347]: A759257951: message-id=<A1XvpFVjC00000030@applicationsrvr.acuden.local>
Jul  3 02:17:07 vs8401 postfix/qmgr[21792]: A759257951: from=<>, size=3136, nrcpt=1 (queue active)
Jul  3 02:17:07 vs8401 postfix/local[25349]: A759257951: to=<no@vs8401.vserver4free.de>, orig_to=<www-data@vs8401.vserver4free.de>, relay=local, delay=1, status=bounced (unknown user: "no")
Jul  3 02:17:07 vs8401 postfix/qmgr[21792]: A759257951: removed
Jul  3 02:17:07 vs8401 postfix/smtpd[25295]: disconnect from acuden.gobierno.pr[64.185.194.71]

Allso werde ich das Postfix sichern müssen oder ?

[oxygen]

das sind bounces von deinem spam.

[][schlumpf][]

So GutenTag ich habe mal wieder die logs angesehen und es sind noch mehr Bounced hin zu gekommen was genau ist das. Wenn ich postqueue -p ist es glücklicher weise leer. Also kan ich doch davon aus gehen das es an meiner nuke Page lag oder

[Roger Wilco]

So GutenTag ich habe mal wieder die logs angesehen und es sind noch mehr Bounced hin zu gekommen was genau ist das.

http://de.wikipedia.org/wiki/Bounce_Message

Also kan ich doch davon aus gehen das es an meiner nuke Page lag oder

Wenn du es nicht beweisen kannst, z. B. anhand von Logeinträgen: Nein.