Deutsch| English
  #1  
Alt 23.11.2010, 09:07
Benutzer
  
Registriert seit: 16.12.2007
Beiträge: 77
Standard Server versendet SPAM
Hallo Profis,


ich habe ein kleines Problem.
Mein Server versendet SPAM in Massen und ich kann nicht genau herausfinden woher.
Meine Log-Dateien mail.log und mail.info sind je rund 700MB groß, deshlab poste ich die mal lieber nicht hier :-)
Meine Frage ist folgende... wie bzw. woran kann ich erkennen, wenn zum Beispiel ein Script/Formular der Angríffpunkt ist? Normalerweise muss man sich ja einloggen um Nachrichten senden zu können. Auch dürfte der SMTP Server nach der Anleitung des Perfect Servers kein Relaying machen.
ABER keines der Scripts, was per sendmail arbeitet braucht ja Zugangsdaten.
Mein Ansatzpunkt ist, dass wahrscheinlich mein Rechner sich was eingefangen hat zumindest davon ausgehend,

Code:
Nov 21 08:01:02 srv1 pop3d: LOGOUT, user=ab@xxxx.de, ip=[::ffff:92.206.xx.xx], port=[58585], top=0, retr=0, rcvd=24, sent=456, time=0
dass send=456 456 Nachrichten bedeutet und nicht Bytes... wobei es in dem Part ja eigentlich um pop3 geht und nicht SMTP... hmmmm
Was aber nun wenn es ein Script auf dem Servr ist?

Hier wäre nochmal ein Ausschnitt, aber ich komme nicht dahinter wie die Mails "eingeliefert" werden, auch wenn das client=localhost... wohl auf ein Script hindeutet....
Code:
Nov 21 13:44:45 srv1 postfix/qmgr[2909]: DF01839A0139: from=<order-update@amazon.com>, size=2307, nrcpt=50 (queue active)
Nov 21 13:44:51 srv1 postfix/smtp[23325]: DF01839A0139: to=<nurseco1@attbi.com>, relay=none, delay=164261, delays=164254/0.02/6.4/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=attbi.com type=MX: Host not found, try again)
Code:
mail.log.1:Nov 19 16:07:10 srv1 postfix/smtpd[17536]: DF01839A0139: client=localhost.localdomain[127.0.0.1]
mail.log.1:Nov 19 16:07:10 srv1 postfix/cleanup[19037]: DF01839A0139: message-id=<20101119150710.DF01839A0139@srv1.xxxx.de>
mail.log.1:Nov 19 16:07:10 srv1 postfix/qmgr[2909]: DF01839A0139: from=<order-update@amazon.com>, size=2307, nrcpt=50 (queue active)

Ich wäre super dankbar für jegliche Tipps, habe erstmal postfix gestoppt, um nicht gesperrt zu werden.


Gruß Sven Lehnert
Geändert von cokotech (23.11.2010 um 09:27 Uhr).
Mit Zitat antworten
  #2  
Alt 23.11.2010, 14:13
Administrator
  
Registriert seit: 08.08.2007
Beiträge: 8.823
Standard
Zitat:
dass send=456 456 Nachrichten bedeutet und nicht Bytes... wobei es in dem Part ja eigentlich um pop3 geht und nicht SMTP... hmmmm
Was aber nun wenn es ein Script auf dem Servr ist?
Es sind bytes und nicht Nachrichten und es geht dabei um pop3, also mail empfang und nicht ums senden.

Die wahrscheinlichste Ursache Deines Problems ist ein bug in einem cms system oder Kontaktformular, welches das versenden von spam emails ermöglicht. Welches script das ist kannst Du z.B. hiermit rausfinden:

http://www.howtoforge.com/how-to-log...tect-form-spam
Mit Zitat antworten
  #3  
Alt 23.11.2010, 16:49
Benutzer
  
Registriert seit: 16.12.2007
Beiträge: 77
Standard
Hallo Till!


Super, ich wusste doch das hier das richtige Forum ist!
Ich probiere das gleich aus!
Vielen Dank!


Gruß Sven!
Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »

Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


Alle Zeitangaben in WEZ +2. Es ist jetzt 06:30 Uhr.

Kontakt - HowtoForge.de - Archiv - Nach oben

Powered by vBulletin® Version 3.8.1 (Deutsch)
Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.6.0