Server versendet Spam

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
krambez
Posts: 5
Joined: 2007-09-04 11:22

Server versendet Spam

Post by krambez » 2007-09-04 11:33

Hallo

Ich habe hier einen komischen Eintrag in meiner mail.log die ich nicht richtig deuten kann.

Vielleicht kann mir jemand einen kurzen Tipp geben.

Code: Select all

Sep  3 11:39:40 server24 postfix/pickup[8938]: 49469C8A3BA: uid=30 from=<wwwrun>
Sep  3 11:39:40 server24 postfix/cleanup[19717]: 49469C8A3BA: message-id=


Wie kann ich herausfinden von welchen Web diese Mails versendet werden. Oder hat sich da vielleicht ein Bot eingenisstet?

Wäre dankbar um jeden Rat, denn ich stehe seit 3 Tagen auf dem Schlauch.
Habe nun mal Postfix deaktiviert das keine weitern Mails raus gehen.

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Server versendet Spam

Post by timeless2 » 2007-09-04 14:06

krambez wrote:

Code: Select all

Sep  3 11:39:40 server24 postfix/pickup[8938]: 49469C8A3BA: uid=30 from=<wwwrun>
Sep  3 11:39:40 server24 postfix/cleanup[19717]: 49469C8A3BA: message-id=


Da verschickt der User wwwrun (Apache) eine E-Mail. Über die Logfiles musst du nur noch herausfinden, welches Skript dafür verantwortlich ist.

krambez
Posts: 5
Joined: 2007-09-04 11:22

Re: Server versendet Spam

Post by krambez » 2007-09-04 14:19

genau das ist das Problem dieses in der Log zu finden.

Ich habe nun im ordner server/tmp was gefunden. Habe es herunter geladen.
Als ich es lokal anschauen wollte hat gleich mein antivir angeschlagen.
Es handelt sich um LINUX/Procfake das sich da eingeschlichen hat.
Habe es auch gleich gelöscht. Doch denke ich das es wieder kommt.
Das sinnvollste wäre ja nun herauszufinden woher das ding kam.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server versendet Spam

Post by Joe User » 2007-09-04 15:46


krambez
Posts: 5
Joined: 2007-09-04 11:22

Re: Server versendet Spam

Post by krambez » 2007-09-04 16:03

jo danke.
Google war mein erster Weg nachdem ich das Teil gefunden habe.
Dachte das es vielleicht ne andere Möglichkeit gibt. Werde da wohl nicht drum herum kommen.

Naja wieder haufen Arbeit.

Vielen Dank

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Server versendet Spam

Post by daemotron » 2007-09-04 16:12

Nur neu installieren reicht nicht. Denn damit holst Du Dir sehr wahrscheinlich wieder das gleiche Loch (ich vermute mal, dass irgendeine Webanwendung da ne Blasenschwäche hat). Grepe Dein Webserver-Log mal nach dem Dateinamen der in server/tmp gefundenen Datei. Sehr wahrscheinlich bekommst Du darüber raus, in welchem VHost die schwächelnde Applikation residiert. Wenn es mehrere sind, musst Du Dir die Request-URI aus dem Log noch mal genauer anschauen. So kriegst Du aber mit ziemlicher Sicherheit raus, wo die Schwachstelle wirklich lag. Und erst wenn die geschlossen ist, solltest Du mit dem Server (und insbesondere der inkontinenten App) wieder ans Netz gehen.

krambez
Posts: 5
Joined: 2007-09-04 11:22

Re: Server versendet Spam

Post by krambez » 2007-09-07 15:26

Vielen Dank für eure Antworten. Aber der Server war am gleichen Abend noch platt. Waren einige Trojaner oder Viren drauf. Bin schon dabei neu aufzusetzten. Und dann muss ich dringend nach der Sicherheitslücke suchen. Ich denke der wird bestimmt nochmal geplättet bis ich die Lücke gefunden habe.

Aber danke für eure Antworten. :-D