Spam vom Apache (PHP Script oä) !

[lumpi]

Hi,

Einer meiner User am Server dürfte wissentlich oder unwissentlich per PHP Script Spam versenden. UID im Mailheader ist 48 (Apache). Habe es mit folgendem probiert nur leider finde ich damit auch nichts

Code: Select all

lsof +r 1 -p `ps axww | fgrep httpd | fgrep -v fgrep | awk ' { if(!str) { str=$1 } else { str=str","$1}}END{print str}'` | fgrep vhosts | fgrep php

Es werden zwar ein paar PHP Scripte ausgeworfen, nur keine die eine Mail Funktion oä. enthalten, und der Spam trudelt fröhlich weiter ein. Habe den Q-Mail jetzt mal gestoppt und die Queue bereinigt, nur bevor ich den wieder aufdrehe, würde ich die Ursache gerne bereinigen. Jemand eine Idee ? Die Logs geben leider diesbezüglich auch nicht wirklich was her :(

Mailheader sieht folgendermassen aus:

Code: Select all

MESSAGE NUMBER 4382406
 --------------
Received: (qmail 25756 invoked by uid 48); 23 Nov 2006 20:11:13 +0100
Date: 23 Nov 2006 20:11:13 +0100
To: clarendoncare@aol.com
Subject: Update your Lloyds account against fraudulent access..
From: ebankingonlinesecurity@Lloyds.co.uk <ebankingonlinesecurity@Lloyds.co.uk>
Message-Id: <130746199.173@Lloyds.co.uk>^M
MIME-Version: 1.0^M
Content-Type: text/html^M
Content-Transfer-Encoding: 8bit^M

[rootsvr]

Normalerweise sollten grade bei 'neuen' Forumlar Spams sich ganz erhebliche Unterschiede zwischen Aufruf früher und Aufruf jetzt zeigen. mal geschaut ob Du mit awstats und ko dem auf die Spur kommst? Ansonsten: mail.log einlieferung anschauen und apache.logs überprüfen was da aufgerufen wird..