RootForum Community

Hallo!

ich hab da ein problemchen, leider konnte die suche mir nicht helfen.


wie lokalisiere ich von welchem user/domain/verzeichniss/php datei eine email mittels der mail() funktion versendet wurde?


irgendeiner nutzt von uns ein mail formular um spam mittels apache/qmail zu senden, relay check ergab das keins offen sei.


grüße

w3b wrote:wie lokalisiere ich von welchem user/domain/verzeichniss/php datei eine email mittels der mail() funktion versendet wurde?

Indem du das Access Log des Apache Webservers und dein Mail Log vergleichst. Oder du ersetzt das sendmail-Binary durch einen Wrapper, der die entsprechenden Informationen speichert.

leider keine übereinstimmungen

aber die mails werden laut mail.info über UID 33 (www-Data) gesendet

Unwahrscheinlich das dein Apache nichts aufzeichnet und dann trotzdem Mails verschickt:

Guck einfach mal welches Formular in letzter Zeit massenhaft aufgerufen wird (awstats) oder schau halt wenn um 15:35:00 eingeliefert mail laut mail.log wird, was ab 15:34:00 alles angefragt wird apache access.log.

ansonsten: Apache stoppen. mailq leeren und dann nochmal mit leeren Logfiles starten.

@w3b: Alle Access-Logs durchsucht? Auch die der vhosts?

flo.

ja, kein anhaltspunkt hab mir die zeiten der mail sednugnen abgeschrieben und alle access_log gegrapt


hier mal ein Bsp der mail.log
sora.de ist der server und die uid 33 der www-data

und qmail ist Dein SMTP-Server - ist schon klar ;-)

Du solltest trotzdem irgendwelche Zugriffe in den Logs haben, es sei denn, das wre abgeschalten.

flo.

flo wrote:und qmail ist Dein SMTP-Server - ist schon klar ;-)

Du solltest trotzdem irgendwelche Zugriffe in den Logs haben, es sei denn, das wre abgeschalten.

flo.

hi, leider keine brauchbaren.
gibt es bei php/apache eine erweiterte log funktion?

Lad doch einfach mal ein paar Minuten Apache Logs hoch, oder schau in deine AWStats auswertung.. normalerweise sollte man in einem solchen Fall eine gehäuftes Interesse an bestimmten Seiten feststellen, die sonst nicht da sind..

Andere Alternative: in /tmp hat jemand per Apache über ne Sicherheitslücke was hochgeladen und ausgeführt. Die (möglicherweise vorhandene) Spamsoftware sitzt jetzt im /tmp hat apache rechte und verschickt fleissig als UID 33 mails.. also auch da mal schauen.

w3b wrote:gibt es bei php/apache eine erweiterte log funktion?

Ich habe mir einen kleinen Patch für PHP erstellt der den Dateinamen samt Verzeichnis des Skripts das mail() aufruft in den Header der eMail schreibt. Der wird dann von Exim4 ausgewertet und bei einer bestimmten Menge versendeter Mails pro User pro Zeitpanne bekomme ich eine Warnmail und der Versand weiterer Mails von dem User wird blockiert bzw in einer Queue gesammelt.
Da ich nur rudimentär C kann :oops: will ich den Patch nicht veröfentlichen aber wenn du dir selbst was basteln willst: /ext/standard/mail.c und /ext/imap/php_imap.c sind die Dateien für mail() und imap_mail() und über SG(request_info).path_translated) bekommst du den Dateinamen des Skripts.

rootsvr wrote:Lad doch einfach mal ein paar Minuten Apache Logs hoch, oder schau in deine AWStats auswertung.. normalerweise sollte man in einem solchen Fall eine gehäuftes Interesse an bestimmten Seiten feststellen, die sonst nicht da sind..

Andere Alternative: in /tmp hat jemand per Apache über ne Sicherheitslücke was hochgeladen und ausgeführt. Die (möglicherweise vorhandene) Spamsoftware sitzt jetzt im /tmp hat apache rechte und verschickt fleissig als UID 33 mails.. also auch da mal schauen.

also im /tmp und /var/tmp ist nichts drin was darauf schließt.


wir haben leider zZ nur Webalizer drauf (durch plesk) nun schauen wir gerade wie wir mit AWstats alle Logs auslesen können (sind verschiedene vhost´s und adurch verschiedene logs).