Spam mails über Mail()

Apache, Lighttpd, nginx, Cherokee
w3b
Posts: 20
Joined: 2004-12-01 13:04

Spam mails über Mail()

Post by w3b »

Hallo!

ich hab da ein problemchen, leider konnte die suche mir nicht helfen.


wie lokalisiere ich von welchem user/domain/verzeichniss/php datei eine email mittels der mail() funktion versendet wurde?


irgendeiner nutzt von uns ein mail formular um spam mittels apache/qmail zu senden, relay check ergab das keins offen sei.


grüße
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: Spam mails über Mail()

Post by Roger Wilco »

w3b wrote:wie lokalisiere ich von welchem user/domain/verzeichniss/php datei eine email mittels der mail() funktion versendet wurde?
Indem du das Access Log des Apache Webservers und dein Mail Log vergleichst. Oder du ersetzt das sendmail-Binary durch einen Wrapper, der die entsprechenden Informationen speichert.
w3b
Posts: 20
Joined: 2004-12-01 13:04

Re: Spam mails über Mail()

Post by w3b »

leider keine übereinstimmungen

aber die mails werden laut mail.info über UID 33 (www-Data) gesendet
rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spam mails über Mail()

Post by rootsvr »

Unwahrscheinlich das dein Apache nichts aufzeichnet und dann trotzdem Mails verschickt:

Guck einfach mal welches Formular in letzter Zeit massenhaft aufgerufen wird (awstats) oder schau halt wenn um 15:35:00 eingeliefert mail laut mail.log wird, was ab 15:34:00 alles angefragt wird apache access.log.

ansonsten: Apache stoppen. mailq leeren und dann nochmal mit leeren Logfiles starten.
flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Spam mails über Mail()

Post by flo »

@w3b: Alle Access-Logs durchsucht? Auch die der vhosts?

flo.
w3b
Posts: 20
Joined: 2004-12-01 13:04

Re: Spam mails über Mail()

Post by w3b »

ja, kein anhaltspunkt hab mir die zeiten der mail sednugnen abgeschrieben und alle access_log gegrapt


hier mal ein Bsp der mail.log

Code: Select all

Aug  2 10:06:15 sora04 qmail: 1154505975.947419 new msg 17256348
Aug  2 10:06:15 sora04 qmail: 1154505975.954292 info msg 17256348: bytes 2541 from <anonymous@mail.sora.de> qp 3925 uid 33
Aug  2 10:06:15 sora04 qmail: 1154505975.996058 new msg 17256371
Aug  2 10:06:16 sora04 qmail: 1154505976.006276 info msg 17256371: bytes 2538 from <anonymous@mail.sora.de> qp 4000 uid 33
Aug  2 10:06:16 sora04 qmail: 1154505976.092681 new msg 17256394
Aug  2 10:06:16 sora04 qmail: 1154505976.094240 info msg 17256394: bytes 2548 from <anonymous@mail.sora.de> qp 4069 uid 33
sora.de ist der server und die uid 33 der www-data
flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Spam mails über Mail()

Post by flo »

und qmail ist Dein SMTP-Server - ist schon klar ;-)

Du solltest trotzdem irgendwelche Zugriffe in den Logs haben, es sei denn, das wre abgeschalten.

flo.
w3b
Posts: 20
Joined: 2004-12-01 13:04

Re: Spam mails über Mail()

Post by w3b »

flo wrote:und qmail ist Dein SMTP-Server - ist schon klar ;-)

Du solltest trotzdem irgendwelche Zugriffe in den Logs haben, es sei denn, das wre abgeschalten.

flo.
hi, leider keine brauchbaren.
gibt es bei php/apache eine erweiterte log funktion?
rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spam mails über Mail()

Post by rootsvr »

Lad doch einfach mal ein paar Minuten Apache Logs hoch, oder schau in deine AWStats auswertung.. normalerweise sollte man in einem solchen Fall eine gehäuftes Interesse an bestimmten Seiten feststellen, die sonst nicht da sind..

Andere Alternative: in /tmp hat jemand per Apache über ne Sicherheitslücke was hochgeladen und ausgeführt. Die (möglicherweise vorhandene) Spamsoftware sitzt jetzt im /tmp hat apache rechte und verschickt fleissig als UID 33 mails.. also auch da mal schauen.
hornox
Posts: 139
Joined: 2005-09-22 23:09

Re: Spam mails über Mail()

Post by hornox »

w3b wrote:gibt es bei php/apache eine erweiterte log funktion?
Ich habe mir einen kleinen Patch für PHP erstellt der den Dateinamen samt Verzeichnis des Skripts das mail() aufruft in den Header der eMail schreibt. Der wird dann von Exim4 ausgewertet und bei einer bestimmten Menge versendeter Mails pro User pro Zeitpanne bekomme ich eine Warnmail und der Versand weiterer Mails von dem User wird blockiert bzw in einer Queue gesammelt.
Da ich nur rudimentär C kann :oops: will ich den Patch nicht veröfentlichen aber wenn du dir selbst was basteln willst: /ext/standard/mail.c und /ext/imap/php_imap.c sind die Dateien für mail() und imap_mail() und über SG(request_info).path_translated) bekommst du den Dateinamen des Skripts.
w3b
Posts: 20
Joined: 2004-12-01 13:04

Re: Spam mails über Mail()

Post by w3b »

rootsvr wrote:Lad doch einfach mal ein paar Minuten Apache Logs hoch, oder schau in deine AWStats auswertung.. normalerweise sollte man in einem solchen Fall eine gehäuftes Interesse an bestimmten Seiten feststellen, die sonst nicht da sind..

Andere Alternative: in /tmp hat jemand per Apache über ne Sicherheitslücke was hochgeladen und ausgeführt. Die (möglicherweise vorhandene) Spamsoftware sitzt jetzt im /tmp hat apache rechte und verschickt fleissig als UID 33 mails.. also auch da mal schauen.
also im /tmp und /var/tmp ist nichts drin was darauf schließt.


wir haben leider zZ nur Webalizer drauf (durch plesk) nun schauen wir gerade wie wir mit AWstats alle Logs auslesen können (sind verschiedene vhost´s und adurch verschiedene logs).