Probleme mit qmail - es werden Massenemails verschickt

[frank1973]

Hallo,

momentan werden mehrmals täglich E-Mails mit mehreren Hundert Adressaten von meinem Server versendet.

Diese werden natürlich nach und nach von qmail verarbeitet, so das das versenden von Mails Stunden dauert...

Wie kann ich nun herausfinden von welchem Konto(es gibt leider viele) diese Mails verschickt wurden oder ob sie z.B. über ein PHP-Script verschickt wurden.

Es ist ein PLESK 7.5.4 System.
EDIT: Es ist nur die Nutzung von vollständigen POP3/IMAP E-Mail-Account-Namen erlaubt und Autorisierung steht auf SMTP.

Frank

[Roger Wilco]

Tu uns allen einen Gefallen und deaktiviere zuerst einmal qmail. Dann leere die Mailqueue.

Über unsere Suchfunktion findest du zahlreiche Threads zu deiner Frage. Im Endeffekt läuft es auf eine Korrelation zwischen den Maillogs und den Access Logs deines Webservers hinaus.

Sichere auf jeden Fall die Logdateien von qmail. Bei Plesk dürften die unter /usr/local/psa/var/log/ liegen.

[uprocka]

bei mir wars ein php script - das über getvars gespeist werden konnte.
hat jmd. herausgefunden und dann jede menge mails versendet.
(aber auch PHP-Befehle wie include($_GET['script']) lassen böse Aktionen zu.)

Wenn es php ist müsste es wenn man den Webserver stoppt. die Queue löscht und Qmail weiterlaufen lässt aufhören,

wenn es weiter besteht sieht es nach nem gehackten oder illegal verwendeten SMTP-Account aus.


Habe mein System schliesslich neu installiert - war aber eh mal wieder zeit.

[frank1973]

So habe nun erstmal die logs gelöscht und den Mailqueue gelöscht.

Nun mal abwarten wann die nächste Massenmail kommt oder nicht...

[Roger Wilco]

So habe nun erstmal die logs gelöscht

Das ist, gelinde gesagt, reichlich dämlich.

Nun mal abwarten wann die nächste Massenmail kommt oder nicht...

Tolle Strategie...

[uprocka]

Naja logs löschen war jetzt nicht so clever. Musst doch nur schaun was nach Zeitpunkt X kam.


naja egal. Haste den Webserver mal abgeschaltet? und ne weile gewartet?

Kannste ja als nächstes machen. Empfiehlt sich nachts wenn du Kunden hast :-)

[frank1973]

Also ich finde es wesentlich einfacher ein wenn man kleine Logfiles anstatt eine Datei mir etlichen Tausend Einträgen....

Natürlich habe ich die Files vorher gesichert....

Habe mein Kontakt Formular deaktiviert und zu mindestens heute Nacht sind keine verschickt worden.

Danke für eure schnellen Antowrten, ich hoffe das wars.

Frank

[uprocka]

Ja sichern ist immer gut :-)

Was das Kontaktformular angeht:

Kann man da von aussen eine Empfängeradresse angeben? oder ist deine Adresse hardgecoded?

[frank1973]

Eigentlich war die Empfängermail nicht anzugeben.
Es war eines meiner ersten Scripte(Heute würde ich das etwas anders machen):

Code: Select all

$message="Von: ".$_POST["name"]."nnAnliegen: ".$_POST["category"]."nText:n".$_POST["text"];

mail("Kontakt@meineDomain.de", "KONTAKTFORMULAR", $message,
"From: ".$_POST["email"]);

Die Mails die ich im Mailqueue gefunden habe, hatten allerdings noch einen Text vor meiner Message:

Code: Select all

Received: (qmail 22350 invoked by uid 30); 6 Mar 2007 19:14:10 +0100
Date: 6 Mar 2007 19:14:10 +0100
Message-ID: <20070304181410.22349.qmail@www.meinedomain.de>
To: Kontakt@meinedomain.de
Subject: KONTAKTFORMULAR
From: demand@www.meinedomain.de
Content-Transfer-Encoding: 7bit
Content-Type: text/plain
Subject: Re: hello


Important..

Introducing H  G  H, the most fantastic wonderdrug to come out of the 
medical research establishment in a decade, and a substance used by the 
socio-economic elites of the world for years. There is one major 
difference.. the actors and actresses and politicians and extremely wealthy 
of all walks of life that have been making use of it for so long to shed 
pounds and wrinkles and look and feel younger and fitter and healthier have 
had to pay thousands of dollars for each dose, and endure painful 
injections. No longer! Advancements in medical science now enables users to 
take a simple pill each day and attain the same effects that once required 
very large amounts of money, time, and patience (not to mention pain 
tolerance!).

Lose weight, increase lean muscle mass, eliminate signs of aging, both 
external and internal, improve your mood and reduce or eliminate signs or 
symptoms of depression, drastically increase physical stamina and sexual 
function and vigor, refresh and revitalize your brain, memory and mental 
energy, improve most of your five senses dramatically, and so much more. 
How can one product do all of this? It's simple, actually.. our produces 
produce H  G  H naturally, all throughout our lives. However, over time our 
bodies begin to produce less and less, which is one of the main causes of 
aging (and all signs of aging), sickness, wrinkles and cellulite and loss 
of energy, mental function, sex drive/function, decreased metabolism and 
even depression and poor quality sleep.

This medical marvel can help cure or eliminate ALL of those woes, as soon 
as a week or two after you begin usage, and is like a shot of youth that 
can allow you to turn back the clock in many extremely helpful ways. <A 
HREF=http://drahrf.info > Click here</A>









.


Von: 

Anliegen: 
Text:

uid 30 ist der Apache.
Seid der Deaktivierung des Kontaktformulars sind auch keine weiteren Mails gekommen...

[Roger Wilco]

Die Mails die ich im Mailqueue gefunden habe, hatten allerdings noch einen Text vor meiner Message:

Du hast vergessen, $_POST['email'] zu säubern.

[uprocka]

aber dann hast du ja alle Spammails an Kontakt@meineDomain.de bekommen und sonst konnte ja niemand anderes gespammt werden?

Mails die nicht an Kontakt@meineDomain.de gespammt wurden, kamen also nicht über dieses Script.

mfg

[oxygen]

aber dann hast du ja alle Spammails an Kontakt@meineDomain.de bekommen und sonst konnte ja niemand anderes gespammt werden?

Mails die nicht an Kontakt@meineDomain.de gespammt wurden, kamen also nicht über dieses Script.

mfg

Das Script ist so geschrieben, dass sich weitere Headerzeilen (und damit auch weitere Empfänger) einfügen lassen.

[frank1973]

Diese Mail war an mich adressiert ja.
Im Mailqueue waren Mails für ca. 25.000 Empfänger. Die einzelnen Mails hatten ca.300 Empfänger. Und es gab schon massenhaft Rückmeldungen, das die Adressen nicht existieren...

[daemotron]

Klar, da hat Dir einer sowas untergejubelt:

Code: Select all

$_POST['email'] = "demand@www.meinedomain.denCc: spamopfer@domain.tldnSubject: Spam me!nnNerviges Zeugs was keiner lesen willn.n"

Klassische Header-Injection eben... knall $_POST['email'] gegen ein Regex, dass nur eine Email-Adresse drin stehen kann. Die anderen Post-Felder sind nicht ganz so kritisch, aber auch da würde ich drauf achten, dass niemand was reinschreibt, dass als Mail-Headerzeile durchgehen könnte...