sendmail skirpt wird für spam ausgenutzt

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
dabo2006
Posts: 19
Joined: 2006-05-29 22:46

sendmail skirpt wird für spam ausgenutzt

Post by dabo2006 » 2006-07-24 17:55

hallo!

ich habe einen webserver mit mehreren kunden drauf.

irgendjemand hat dort ein skript mit einer sicherheitslücke installiert, so dass meine mailqueue schon über 10.000 mails drin hat.

wie kann ich rausfinden, wo dieses skript auf dem server liegt, damit ich es deaktivieren kann?


gruss,
dabo

zg0re
Posts: 104
Joined: 2003-06-04 15:33

Re: sendmail skirpt wird für spam ausgenutzt

Post by zg0re » 2006-07-24 18:05

Wenn jemand auf deinem Server war und was installieren konnte, dann bleibt dir nicht viel übrig, außer den mailserver sofort abzuschalten, backups zu machen, einschließlich logs (wobei diese evtl. bereits geändert sein können) und dann den Server neu aufzusetzen und *vorher* nach evtl. Sicherheitslücken zu suchen (veraltetete, löchrige PHP Skripte etc.)

dabo2006
Posts: 19
Joined: 2006-05-29 22:46

Re: sendmail skirpt wird für spam ausgenutzt

Post by dabo2006 » 2006-07-24 18:08

sorry, habe mich da wohl etwas falsch ausgedrückt.

also es war zum glück niemand auf meinem server sondern ein script wird übers web dafür missbraucht. d.h. jemand verschickt über irgendein skript tausende von mails.

natürlich ist der absender in diesem fall wwwrun - aber ich finde halt nicht das skript um das es geht...

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: sendmail skirpt wird für spam ausgenutzt

Post by rootsvr » 2006-07-25 09:32

Kontaktformulare oder alte blogs/Foren/Mambo installationen.
Im Notfall sollte das apache blog korreliert mit mail.log was ausspucken.

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: sendmail skirpt wird für spam ausgenutzt

Post by danu » 2006-07-27 02:28

und wieder mal mod_security, falls, Du die Mühe auf dich nehmen magst. Blockt und zeigt im Log die "bösen" Scripts.

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: sendmail skirpt wird für spam ausgenutzt

Post by sledge0303 » 2006-07-27 19:16

danu wrote:und wieder mal mod_security, falls, Du die Mühe auf dich nehmen magst. Blockt und zeigt im Log die "bösen" Scripts.
Unter gotroot bekommst auch eine passende Konfiguration. Was aber zu beachten ist, das Teil zieht eine nicht unerhebliche Performance von der Kiste.

dabo2006
Posts: 19
Joined: 2006-05-29 22:46

Re: sendmail skirpt wird für spam ausgenutzt

Post by dabo2006 » 2006-08-06 17:35

ja vielen dank!

ich habe mod_security installiert und alle probleme sind verschwunden!

tausend dank für diesen tipp!

gruss,
dabo

dabo2006
Posts: 19
Joined: 2006-05-29 22:46

Re: sendmail skirpt wird für spam ausgenutzt

Post by dabo2006 » 2006-08-06 19:28

hm.
oder aber leider auch nicht.

alles läuft ca. 1 stunde wunderbar, danach schnellt die load average von 0,20 auf über 30 und der server schmiert ab.

hat da jemand einen rat?

gruss,
dabo

der kleine tux
Posts: 97
Joined: 2005-10-29 04:12
Location: Planet Erde

Re: sendmail skirpt wird für spam ausgenutzt

Post by der kleine tux » 2006-08-06 19:43

Logs !
wie soll dir einer mit den paar Infos helfen ?

gruss

dabo2006
Posts: 19
Joined: 2006-05-29 22:46

Re: sendmail skirpt wird für spam ausgenutzt

Post by dabo2006 » 2006-08-06 19:48

also vor dem absturz:

messages:

Code: Select all

Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0xf0/0)
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0xf0/0)
Aug  6 19:38:24 chicago059 kernel: ENOMEM in do_get_write_access, retrying.
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
Aug  6 19:38:24 chicago059 kernel: VM: killing process httpd2-prefork
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0xf0/0)
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Aug  6 19:38:24 chicago059 kernel: Trying to vfree() nonexistent vm area (e08ff000)
Aug  6 19:38:24 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
Aug  6 19:38:24 chicago059 last message repeated 2 times
Aug  6 19:38:24 chicago059 kernel: VM: killing process sendmail
Aug  6 19:38:35 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Aug  6 19:38:35 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
Aug  6 19:38:35 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Aug  6 19:38:35 chicago059 kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)

warn:

Code: Select all

Aug  6 18:38:52 chicago059 sendmail[1232]: k76Gcp4V001232: collect: premature EOM: unexpected close
Aug  6 18:50:38 chicago059 insmod: insmod: a module named key already exists
Aug  6 18:50:38 chicago059 insmod: insmod: insmod net-pf-10 failed
Aug  6 18:50:38 chicago059 insmod: insmod: a module named key already exists
Aug  6 18:50:38 chicago059 insmod: insmod: insmod net-pf-10 failed
Aug  6 18:51:57 chicago059 kernel: keyboard: Timeout - AT keyboard not present?(f4)
Aug  6 18:52:29 chicago059 kernel: keyboard: Timeout - AT keyboard not present?(f4)
Aug  6 18:52:36 chicago059 last message repeated 5 times
Aug  6 19:38:24 chicago059 kernel: VM: killing process httpd2-prefork
Aug  6 19:38:24 chicago059 kernel: Trying to vfree() nonexistent vm area (e08ff000)
Aug  6 19:38:24 chicago059 kernel: VM: killing process sendmail


oder in welchen logdateien soll ich noch suchen?

dabo2006
Posts: 19
Joined: 2006-05-29 22:46

Re: sendmail skirpt wird für spam ausgenutzt

Post by dabo2006 » 2006-08-06 21:10

ich habe jetzt in der httpd.conf die persistent connections auf "off" gesetzt - jetzt hält sich die LA konstant auf 0,5 bis 0,8.

hat diese einstellung irgendwelche nachteile?

der kleine tux
Posts: 97
Joined: 2005-10-29 04:12
Location: Planet Erde

Re: sendmail skirpt wird für spam ausgenutzt

Post by der kleine tux » 2006-08-06 23:11

ich habe jetzt in der httpd.conf die persistent connections auf "off" gesetzt
mysql :-s oder meinst du KeepAlive off
http://httpd.apache.org/docs/2.0/mod/co ... #keepalive
aber das hette ich erst gelesen dann wüstest du ca die vor- und nachteile und ob es für dich geeignet ist die frage nach dem sinn ist deine sorge

a sollte der mailserver nicht laufen
b wenn über php disable_functions = mail
"vorübergehend"

access_log der user für den zeitraum abklappern
und audit_log wenn mod_sec.. logt

fehler meldung ab google`n
sonst mal die üblich verdächtigen /tmp ~/phptmp

gruss