Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Postfix - PHP Spamscript?! Wie ausfindig machen?

Mitglied: iceget

iceget (Level 2) - Jetzt verbinden

17.02.2011 um 21:34 Uhr, 8541 Aufrufe, 6 Kommentare

Hallo Liebe Community,



ich habe seit einer Woche das Problem das auf meinem Server (Web,Apache,MySQL,Mail) wo sich zirka 200 Domains befinden (wovon bestimmt 50% Safemode auf off gestellt sind) ein Spamscript mich mit dem Server immer in die Spamlisten einträgt. Ich habe folgendes Logfile (mail.log) von Postfix:

50731 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[85.158.139.3]: Connection refused (port 25)
50732 Feb 17 13:52:28 ns1 postfix/smtp[1851]: connect to cluster8.us.messagelabs.com[216.82.241.99]: Connection refused (port 25)
50733 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50734 Feb 17 13:52:28 ns1 postfix/smtp[1867]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50735 Feb 17 13:52:28 ns1 postfix/smtp[1870]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50736 Feb 17 13:52:28 ns1 postfix/smtp[1867]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50737 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[194.106.220.51]: Connection refused (port 25)
50738 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[85.158.139.3]: Connection refused (port 25)
50739 Feb 17 13:52:28 ns1 postfix/smtp[1866]: connect to cluster8.us.messagelabs.com[216.82.241.99]: Connection refused (port 25)
50740 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[85.158.137.67]: Connection refused (port 25)
50741 Feb 17 13:52:28 ns1 postfix/smtp[1836]: connect to cluster8.us.messagelabs.com[216.82.241.99]: Connection refused (port 25)
50742 Feb 17 13:52:28 ns1 postfix/smtp[1872]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50743 Feb 17 13:52:28 ns1 postfix/smtp[1870]: connect to cluster3.eu.messagelabs.com[85.158.139.3]: Connection refused (port 25)
50744 Feb 17 13:52:28 ns1 postfix/smtp[1867]: connect to cluster3.eu.messagelabs.com[85.158.136.35]: Connection refused (port 25)
50745 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50746 Feb 17 13:52:28 ns1 postfix/smtp[1861]: connect to team-bau.at[46.4.31.134]: Connection refused (port 25)
50747 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[85.158.136.3]: Connection refused (port 25)
50748 Feb 17 13:52:28 ns1 postfix/smtp[1867]: connect to cluster3.eu.messagelabs.com[85.158.137.67]: Connection refused (port 25)
50749 Feb 17 13:52:28 ns1 postfix/smtp[1874]: connect to cluster3.eu.messagelabs.com[85.158.137.67]: Connection refused (port 25)
50750 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[85.158.137.83]: Connection refused (port 25)
50751 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[85.158.137.83]: Connection refused (port 25)
50752 Feb 17 13:52:28 ns1 postfix/smtp[1873]: connect to cluster3.eu.messagelabs.com[85.158.139.3]: Connection refused (port 25)
50753 Feb 17 13:52:28 ns1 postfix/smtp[1868]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50754 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50755 Feb 17 13:52:28 ns1 postfix/smtp[1872]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50756 Feb 17 13:52:28 ns1 postfix/smtp[1857]: connect to cluster8.us.messagelabs.com[216.82.241.99]: Connection refused (port 25)
50757 Feb 17 13:52:28 ns1 postfix/smtp[1874]: connect to cluster3.eu.messagelabs.com[85.158.136.35]: Connection refused (port 25)
50758 Feb 17 13:52:28 ns1 postfix/smtp[1870]: connect to cluster3.eu.messagelabs.com[194.106.220.51]: Connection refused (port 25)
50759 Feb 17 13:52:28 ns1 postfix/smtp[1872]: connect to cluster3.eu.messagelabs.com[85.158.137.83]: Connection refused (port 25)
50760 Feb 17 13:52:28 ns1 postfix/smtp[1875]: connect to cluster3.eu.messagelabs.com[85.158.136.3]: Connection refused (port 25)
50761 Feb 17 13:52:28 ns1 postfix/smtp[1875]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50762 Feb 17 13:52:28 ns1 postfix/smtp[1873]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)

Connection refused bekomme ich mittlerweile zurück, weil ich mit dem Server schon auf einigen SPAMListen eingetragen bin, ...

Jetzt finde ich aber nicht das Script was dafür verantwortlich ist. Zumindest habe ich die Apache Logfiles durchsucht, ... das Problem: das Script t_backuptoster_check.php gibt es nicht. Jedoch wird jeden Tag das Script ausgeführt. Auch die Webalizer Statistik zeigt mir das dass Script effektiv aufgerufen wurde (~ 22000 mal) und dann (scheinbar) wieder gelöscht wurde.

Jetzt meine Frage:
Wie kann ich herausfinden welches Script das macht? Bzw. kann ich den Server irgendwie absichern das wenn mehr wie 50 gleichzeitge E-Mails weggesendet werden, automatisch eine E-Mail an mich geht?



Ich hoffe ihr könnt mir helfen!



Ich verwende die aktuellste Version von Postfix auf einem Debian Etch (noch (werde das demnächst updaten)).


Vielen Dank!

glg Markus
Mitglied: adminst
18.02.2011 um 11:05 Uhr
Hi

Wenn ich dich wäre würde ich so schnell wie möglich rausfinden über welchen User der Müll versendet wird.
Du hast ja hoffentlich für jede Domain einen eigenen User oder?, dann sperren.

Den du bist gesetzlich verpflichtet, wenn du dies nicht in kurzer Zeit rausfindest, den ganzen Server
vom Netz zu nehmen...

adminst
Bitte warten ..
Mitglied: SlainteMhath
18.02.2011 um 13:15 Uhr
Moin,

Wie kann ich herausfinden welches Script das macht?
Also wenn's im Webalizer mit aufgeführt ist, dann steh's auch in den Apache Logs. D.,h. du weist zumindest in welchem Verzeichnis es einmal war, und welche (ftp-)User darauf zugriff haben.

kann ich den Server irgendwie absichern
Als Sofortmaßnahmen solltest Du die Passwörter *aller* FTP- und SSH-User incl. root ändnern, damit da nicht noch mehr anbrennen kann.

Dann:
Und prüfen ob es bei den aktuell installieren PHP-Anwendungen bekannte Sicherheitslücken gibt.

und ggfs. mal ein
Über alle verfügbaren http- und ftp-logs sowie alle .bash_history Dateien.

Ansonsten: Patchen, patchen, patchen

/EDIT:
Das
wenn mehr wie 50 gleichzeitge E-Mails weggesendet werden, automatisch eine E-Mail an mich geht?
ist definitiv der falsche Ansatzpunkt. Wo heute Spammails verschickt werden, werdeb morgen warez/KiPos geserved.

Hoffe du hast am WE nix vor :P

lg,
Slainte
Bitte warten ..
Mitglied: dog
18.02.2011 um 13:33 Uhr
magic_quotes = on

Nanana, magic_quotes gehört immer auf off.
Das ist ein Legacy-Feature, was in PHP6 ohnehin rausfliegt weil es genau wie register_globals nur für schlechten Programmierstil gesorgt hat.

Es gibt übrigens auch die Funktion override_function und PHP benutzt zum Mail-Senden mail - das als Tipp.
Bitte warten ..
Mitglied: iceget
18.02.2011 um 20:42 Uhr
Hey,

vielen dank!

Hab im FTP Logfile das raufladen der Datei gefunden. Habe nun das Passwort geändert!

Meine Frage wäre nur: ich hab in der php.ini unter sendmail path ein php script angegeben was mir jeden mail aufruf via php in ein logfile schreibt,
wieso hab ich das bei dieser php datei nicht gesehen?!?! es wurden einige tausende emails rausgeschickt, und nicht ein eintrag wurde in die phpsendmail.log eingetragen, ...

Wisst ihr wie der attentäter mails rausgesendet hat?

vielen dank!

glg markus
Bitte warten ..
Mitglied: dog
18.02.2011 um 20:46 Uhr
Wisst ihr wie der attentäter mails rausgesendet hat?

z.B. indem er einen eigenen SMTP-Client implementiert hat...
Bitte warten ..
Mitglied: iceget
18.02.2011 um 20:48 Uhr
okay, das leuchtet mir ein!

danke und lg markus
Bitte warten ..
Ähnliche Inhalte
Monitoring
Wie Broadcaster ausfindig machen?
Frage von AssassinMonitoring33 Kommentare

Hallo, kennt sich hier eventuell jemand ganz gut mit Wireshark aus? Bei einem mittelständigen Unternehmen blinken alle Switchports pausenlos ...

Windows Userverwaltung

Servergespeichertes Profil - Pfad ausfindig machen

Frage von staybbWindows Userverwaltung6 Kommentare

Hallo zusammen, ich habe bei zwei Usern, welche sich über eine Citrix Farm über einen Terminalserver anmelden, das Problem, ...

Linux

Postfix TLS einrichten

Frage von EmheonivekLinux1 Kommentar

Ich bin neu im Thema SSL-Zertifikate und versuche die Situation zu erläutern. Ich habe vor einiger Zeit ein Wildcard ...

Debian

Fehlerhafte Postfix Konfiguration

Frage von mbrnjsDebian5 Kommentare

Guten Tag zusammen, vor kurzem habe ich das erste Mal einen Postfix selber in Betrieb genommen (Mails vom Exchange ...

Neue Wissensbeiträge
Sicherheit

Windows Setup erlaubt elevation of privilege plus DC Updates

Information von DerWoWusste vor 5 StundenSicherheit

Eine interessante neue Sicherheitslücke. Details gibt es wenig, aber die klare Empfehlung: If you are using WSUS or MEM ...

Exchange Server

Exchange Server 2016 and the End of Mainstream Support

Information von Dani vor 18 StundenExchange Server

As hopefully many of you already know Exchange Server 2016 enters the Extended Support phase of its product lifecycle ...

Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 1 TagViren und Trojaner

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 3 TagenSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Heiß diskutierte Inhalte
Internet
VPN und Fritzbox
Frage von jensgebkenInternet29 Kommentare

Hallo Gemeinschaft, da der Support von AVM mir keine Antwort gibt, versuche ich es hier einmal HArdware 7490 zwei ...

Sicherheit
Verschlüsseln anstatt löschen ?
Frage von TastuserSicherheit18 Kommentare

Hallo, ist es möglich ganze Ordner auf Windows 10 zu verschlüsseln? Aber keine Kopien zu verschlüsseln (wie mit WinRAR) ...

Switche und Hubs
Neue Switches für Schule
Frage von Freak-On-SiliconSwitche und Hubs14 Kommentare

Servus; Eins Vorweg, bin leider in vielen Sachen noch nicht so erfahren. Und nein, ich kann LEIDER keinen Dienstleister ...

LAN, WAN, Wireless
Zwei Fritzboxen per VPN verbinden - Aber ins Gast-Lan4
gelöst Frage von KlasiKlausLAN, WAN, Wireless14 Kommentare

Hallo liebe Community, tldr: Zwei Computer @ 2 locations - connect via FritBox VPN Heimnetzwerk Fritte1 und LAN4 (Gastnetzwerk) ...

Weniger Werbung?
Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...