Server wird als Spamserver missbraucht

tangenta
Posts: 36
Joined: 2006-12-15 11:20

Server wird als Spamserver missbraucht

Post by tangenta »

Der Server ist ein SuSE 9.3 bei s4y mit Confixx zur Administration.

Es ist jetzt schon 2 mal vorgekommen das der Server zum versenden von Spam e-mails verwendet wurde. Das erste mal wurde mir mit mailq angezeigt dass 450.000 Emails im Queue sind und das zweite mal 50.000.
Aber die E-Mails haben als Absender nur wwwrun. Also gehe ich davon aus das wohl irgend ein Kunde ein offenes Script auf dem Servber hat welches es ermöglicht massig Spam E-Mails zu versenden. Gibts eine Möglichkeit wie ich das herausfinde welcher User das ist?

Oder noch besser, kann ich Postfix irgend wie beschränken das es z.B. nur möglich ist das ein User nur alle 10 Sekunden eine E-Mail versenden kann.
Oder sonst eine Möglichkeit wie man den Gebrauch als Spamschleuder eindämmen kann?
Top

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Server wird als Spamserver missbraucht

Post by flo »

Das ist eine der meistgestellten Fragen in letzter Zeit - bitte benutze dazu die Suche.

flo.
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Server wird als Spamserver missbraucht

Post by Roger Wilco »

tangenta wrote:Gibts eine Möglichkeit wie ich das herausfinde welcher User das ist?
Wie flo schon geschrieben hat, wirst du über die Suchfunktion einige Beiträge dazu finden.
Möglicherweise wird in den folgenden PHP-Versionen (vielleicht schon 5.2.2) der unter http://ilia.ws/archives/149-mail-logging-for-PHP.html beschriebene Patch einfließen, der die Sache noch einfacher macht.
tangenta wrote:Oder noch besser, kann ich Postfix irgend wie beschränken das es z.B. nur möglich ist das ein User nur alle 10 Sekunden eine E-Mail versenden kann.
http://www.postfix.org/postconf.5.html# ... rate_limit
http://www.postfix.org/postconf.5.html# ... rate_limit
http://www.postfix.org/postconf.5.html# ... rate_limit
tangenta wrote:Oder sonst eine Möglichkeit wie man den Gebrauch als Spamschleuder eindämmen kann?
MTA abschalten oder die Funktion mail() in PHP deaktivieren.
Top

tangenta
Posts: 36
Joined: 2006-12-15 11:20

meine Lösung

Post by tangenta »

Ich habe jetzt das Problem so gelöst, dass unter PHP der mail() Befehl deaktiviert wurde und Mails unter PHP nur noch über SMTP-Authentication versendet werden können. Ist vielleicht nicht Userfreundlich da jetzt alle Kunden Ihre Mailscripte umschreiben müssen, aber eine sichere Lösung und die einzigste die ich zum stoppen des Spamversandes gefunden habe.
Realisiert über die php.ini mit dem Eintrag:
disable_functions = mail

So kann ich über die /var/log/mail.info anhand der Anmele ID für den Mailversand genau nachvollziehen welcher User denn das offene Script hat über den die Spams versendet werden und kann explizit diesen Sperren und muss nicht das komplette Mailsystem lahmlegen.

Realisierbar ist der Mailversand über SMTP-Authentication sehr schön mit diesem Mailer Script:
http://phpmailer.sourceforge.net/

Vielleicht hilft die Lösung ja jemand weiter der das selbe Problem hat....
Top

mican
Posts: 7
Joined: 2007-05-04 16:48

Re: Server wird als Spamserver missbraucht

Post by mican »

Roger Wilco wrote:
tangenta wrote:Gibts eine Möglichkeit wie ich das herausfinde welcher User das ist?

Wie flo schon geschrieben hat, wirst du über die Suchfunktion einige Beiträge dazu finden.
Möglicherweise wird in den folgenden PHP-Versionen (vielleicht schon 5.2.2) der unter http://ilia.ws/archives/149-mail-logging-for-PHP.html beschriebene Patch einfließen, der die Sache noch einfacher macht.


Hi leute hab gerade auch ein problem mit spamversand von meinem 1und1 rootserver mit qmail. Bin leider nicht mit linux so vertraut..
Ich hab laut tests keine open relays.. da liegt der verdacht auf einen bösen phpscript. Wie kann ich dieses mail log konfigurieren bzw. wohin stell ich dieses patch rein und wo sind dann die logs? danke im voraus
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Server wird als Spamserver missbraucht

Post by daemotron »

mican wrote:Bin leider nicht mit linux so vertraut.
Und dann willst Du PHP für eine Produktionsumgebung patchen und selbst übersetzen?

Dir bleibt wohl nichts anderes übrig, als einen Abgleich der Logs von Mail- und Webserver zu machen und dabei insbesondere auf die Zeitangaben zu achten. Hilfreich dabei sind Werkzeuge wie grep, cut, diff, sed und awk. Wenn Du ernsthaft einen Server administrieren willst, gehört der Umgang mit diesen Tools sowieso zum Handwerkszeug.
Top