sendmail skirpt wird für spam ausgenutzt

Post by **dabo2006** » 2006-07-24 17:55

hallo!

ich habe einen webserver mit mehreren kunden drauf.

irgendjemand hat dort ein skript mit einer sicherheitslücke installiert, so dass meine mailqueue schon über 10.000 mails drin hat.

wie kann ich rausfinden, wo dieses skript auf dem server liegt, damit ich es deaktivieren kann?

gruss,
dabo

Post by **zg0re** » 2006-07-24 18:05

Wenn jemand auf deinem Server war und was installieren konnte, dann bleibt dir nicht viel übrig, außer den mailserver sofort abzuschalten, backups zu machen, einschließlich logs (wobei diese evtl. bereits geändert sein können) und dann den Server neu aufzusetzen und *vorher* nach evtl. Sicherheitslücken zu suchen (veraltetete, löchrige PHP Skripte etc.)

Post by **dabo2006** » 2006-07-24 18:08

sorry, habe mich da wohl etwas falsch ausgedrückt.

also es war zum glück niemand auf meinem server sondern ein script wird übers web dafür missbraucht. d.h. jemand verschickt über irgendein skript tausende von mails.

natürlich ist der absender in diesem fall wwwrun - aber ich finde halt nicht das skript um das es geht...

Post by **rootsvr** » 2006-07-25 09:32

Kontaktformulare oder alte blogs/Foren/Mambo installationen.
Im Notfall sollte das apache blog korreliert mit mail.log was ausspucken.

Post by **danu** » 2006-07-27 02:28

und wieder mal mod_security, falls, Du die Mühe auf dich nehmen magst. Blockt und zeigt im Log die "bösen" Scripts.

Post by **sledge0303** » 2006-07-27 19:16

danu wrote:und wieder mal mod_security, falls, Du die Mühe auf dich nehmen magst. Blockt und zeigt im Log die "bösen" Scripts.

Unter gotroot bekommst auch eine passende Konfiguration. Was aber zu beachten ist, das Teil zieht eine nicht unerhebliche Performance von der Kiste.

Post by **dabo2006** » 2006-08-06 17:35

ja vielen dank!

ich habe mod_security installiert und alle probleme sind verschwunden!

tausend dank für diesen tipp!

gruss,
dabo

Post by **dabo2006** » 2006-08-06 19:28

hm.
oder aber leider auch nicht.

alles läuft ca. 1 stunde wunderbar, danach schnellt die load average von 0,20 auf über 30 und der server schmiert ab.

hat da jemand einen rat?

gruss,
dabo

Post by **der kleine tux** » 2006-08-06 19:43

Logs !
wie soll dir einer mit den paar Infos helfen ?

gruss

Post by **dabo2006** » 2006-08-06 19:48

also vor dem absturz:

messages:

Code: Select all

Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0xf0/0)
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0xf0/0)
Aug  6 19:38:24 chicago059 kernel: ENOMEM in do_get_write_access, retrying.
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
Aug  6 19:38:24 chicago059 kernel: VM: killing process httpd2-prefork
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0xf0/0)
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Aug  6 19:38:24 chicago059 kernel: Trying to vfree() nonexistent vm area (e08ff000)
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
Aug  6 19:38:24 chicago059 last message repeated 2 times
Aug  6 19:38:24 chicago059 kernel: VM: killing process sendmail
Aug  6 19:38:35 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Aug  6 19:38:35 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
Aug  6 19:38:35 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Aug  6 19:38:35 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)

warn:

Code: Select all

Aug  6 18:38:52 chicago059 sendmail[1232]: k76Gcp4V001232: collect: premature EOM: unexpected close
Aug  6 18:50:38 chicago059 insmod: insmod: a module named key already exists
Aug  6 18:50:38 chicago059 insmod: insmod: insmod net-pf-10 failed
Aug  6 18:50:38 chicago059 insmod: insmod: a module named key already exists
Aug  6 18:50:38 chicago059 insmod: insmod: insmod net-pf-10 failed
Aug  6 18:51:57 chicago059 kernel: keyboard: Timeout - AT keyboard not present?(f4)
Aug  6 18:52:29 chicago059 kernel: keyboard: Timeout - AT keyboard not present?(f4)
Aug  6 18:52:36 chicago059 last message repeated 5 times
Aug  6 19:38:24 chicago059 kernel: VM: killing process httpd2-prefork
Aug  6 19:38:24 chicago059 kernel: Trying to vfree() nonexistent vm area (e08ff000)
Aug  6 19:38:24 chicago059 kernel: VM: killing process sendmail

oder in welchen logdateien soll ich noch suchen?

Post by **dabo2006** » 2006-08-06 21:10

ich habe jetzt in der httpd.conf die persistent connections auf "off" gesetzt - jetzt hält sich die LA konstant auf 0,5 bis 0,8.

hat diese einstellung irgendwelche nachteile?

Post by **der kleine tux** » 2006-08-06 23:11

ich habe jetzt in der httpd.conf die persistent connections auf "off" gesetzt

mysql :-s oder meinst du KeepAlive off
http://httpd.apache.org/docs/2.0/mod/co ... #keepalive
aber das hette ich erst gelesen dann wüstest du ca die vor- und nachteile und ob es für dich geeignet ist die frage nach dem sinn ist deine sorge

a sollte der mailserver nicht laufen
b wenn über php disable_functions = mail
"vorübergehend"

access_log der user für den zeitraum abklappern
und audit_log wenn mod_sec.. logt

fehler meldung ab google`n
sonst mal die üblich verdächtigen /tmp ~/phptmp

gruss

RootForum Community

sendmail skirpt wird für spam ausgenutzt

sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt

Re: sendmail skirpt wird für spam ausgenutzt