Der Server ist ein SuSE 9.3 bei s4y mit Confixx zur Administration.
Es ist jetzt schon 2 mal vorgekommen das der Server zum versenden von Spam e-mails verwendet wurde. Das erste mal wurde mir mit mailq angezeigt dass 450.000 Emails im Queue sind und das zweite mal 50.000.
Aber die E-Mails haben als Absender nur wwwrun. Also gehe ich davon aus das wohl irgend ein Kunde ein offenes Script auf dem Servber hat welches es ermöglicht massig Spam E-Mails zu versenden. Gibts eine Möglichkeit wie ich das herausfinde welcher User das ist?
Oder noch besser, kann ich Postfix irgend wie beschränken das es z.B. nur möglich ist das ein User nur alle 10 Sekunden eine E-Mail versenden kann.
Oder sonst eine Möglichkeit wie man den Gebrauch als Spamschleuder eindämmen kann?
Server wird als Spamserver missbraucht
-
- Posts: 2223
- Joined: 2002-07-28 13:02
- Location: Berlin
Re: Server wird als Spamserver missbraucht
Das ist eine der meistgestellten Fragen in letzter Zeit - bitte benutze dazu die Suche.
flo.
flo.
-
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Server wird als Spamserver missbraucht
Wie flo schon geschrieben hat, wirst du über die Suchfunktion einige Beiträge dazu finden.tangenta wrote:Gibts eine Möglichkeit wie ich das herausfinde welcher User das ist?
Möglicherweise wird in den folgenden PHP-Versionen (vielleicht schon 5.2.2) der unter http://ilia.ws/archives/149-mail-logging-for-PHP.html beschriebene Patch einfließen, der die Sache noch einfacher macht.
http://www.postfix.org/postconf.5.html# ... rate_limittangenta wrote:Oder noch besser, kann ich Postfix irgend wie beschränken das es z.B. nur möglich ist das ein User nur alle 10 Sekunden eine E-Mail versenden kann.
http://www.postfix.org/postconf.5.html# ... rate_limit
http://www.postfix.org/postconf.5.html# ... rate_limit
MTA abschalten oder die Funktion mail() in PHP deaktivieren.tangenta wrote:Oder sonst eine Möglichkeit wie man den Gebrauch als Spamschleuder eindämmen kann?
-
- Posts: 36
- Joined: 2006-12-15 11:20
meine Lösung
Ich habe jetzt das Problem so gelöst, dass unter PHP der mail() Befehl deaktiviert wurde und Mails unter PHP nur noch über SMTP-Authentication versendet werden können. Ist vielleicht nicht Userfreundlich da jetzt alle Kunden Ihre Mailscripte umschreiben müssen, aber eine sichere Lösung und die einzigste die ich zum stoppen des Spamversandes gefunden habe.
Realisiert über die php.ini mit dem Eintrag:
disable_functions = mail
So kann ich über die /var/log/mail.info anhand der Anmele ID für den Mailversand genau nachvollziehen welcher User denn das offene Script hat über den die Spams versendet werden und kann explizit diesen Sperren und muss nicht das komplette Mailsystem lahmlegen.
Realisierbar ist der Mailversand über SMTP-Authentication sehr schön mit diesem Mailer Script:
http://phpmailer.sourceforge.net/
Vielleicht hilft die Lösung ja jemand weiter der das selbe Problem hat....
Realisiert über die php.ini mit dem Eintrag:
disable_functions = mail
So kann ich über die /var/log/mail.info anhand der Anmele ID für den Mailversand genau nachvollziehen welcher User denn das offene Script hat über den die Spams versendet werden und kann explizit diesen Sperren und muss nicht das komplette Mailsystem lahmlegen.
Realisierbar ist der Mailversand über SMTP-Authentication sehr schön mit diesem Mailer Script:
http://phpmailer.sourceforge.net/
Vielleicht hilft die Lösung ja jemand weiter der das selbe Problem hat....
-
- Posts: 7
- Joined: 2007-05-04 16:48
Re: Server wird als Spamserver missbraucht
Hi leute hab gerade auch ein problem mit spamversand von meinem 1und1 rootserver mit qmail. Bin leider nicht mit linux so vertraut..Roger Wilco wrote:Wie flo schon geschrieben hat, wirst du über die Suchfunktion einige Beiträge dazu finden.tangenta wrote:Gibts eine Möglichkeit wie ich das herausfinde welcher User das ist?
Möglicherweise wird in den folgenden PHP-Versionen (vielleicht schon 5.2.2) der unter http://ilia.ws/archives/149-mail-logging-for-PHP.html beschriebene Patch einfließen, der die Sache noch einfacher macht.
Ich hab laut tests keine open relays.. da liegt der verdacht auf einen bösen phpscript. Wie kann ich dieses mail log konfigurieren bzw. wohin stell ich dieses patch rein und wo sind dann die logs? danke im voraus
-
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: Server wird als Spamserver missbraucht
Und dann willst Du PHP für eine Produktionsumgebung patchen und selbst übersetzen?mican wrote:Bin leider nicht mit linux so vertraut.
Dir bleibt wohl nichts anderes übrig, als einen Abgleich der Logs von Mail- und Webserver zu machen und dabei insbesondere auf die Zeitangaben zu achten. Hilfreich dabei sind Werkzeuge wie grep, cut, diff, sed und awk. Wenn Du ernsthaft einen Server administrieren willst, gehört der Umgang mit diesen Tools sowieso zum Handwerkszeug.