Blacklist Probleme

Dieses Thema im Forum "Server Administration" wurde erstellt von Falloutboy6, 18. Nov. 2014.

  1. Falloutboy6

    Falloutboy6 Member

    Hallo,
    ich lande immer wieder mit meinem Server auf der Blacklist. Bei der Blacklistseite bekomme ich den Hinweis, dass z. B. folgender E-Mailheader das Problem ist.

    Code:
    Return-Path: <www-data@loft1096.serverloft.de>
    X-Original-To: afrikanetto@SPAMTRAP.INVALID
    Received: from hosting-hanna.de (loft1096.serverloft.de [85.25.120.187])
        by mx.selfip.biz (Spamtrap) with ESMTP
        for afrikanetto@SPAMTRAP.INVALID; Wed, 08 Oct 2014 14:50:22 +0200 (CEST)
    Received: by hosting-hanna.de (Postfix, from userid 33)
        id 020D66B4026; Wed,  8 Oct 2014 14:50:21 +0200 (CEST)
    To: afrikanetto@SPAMTRAP.INVALID
    Subject: Starbucks Card eGift
    From: "Starbucks" <support@motorsport-karriere.de>
    X-Mailer: lightbulbruffiansof6
    Reply-To: "Starbucks" <support@motorsport-karriere.de>
    Mime-Version: 1.0
    Content-Type: multipart/alternative;boundary="----------14127726215435330DD5F6F"
    Message-Id: <20141008125022.020D66B4026@hosting-hanna.de>
    Date: Wed,  8 Oct 2014 14:50:21 +0200 (CEST)
    Die E-Mailadresse support@ gibt es aber nicht. Wo kann ich das sperren? Ich habe ispConfig Version: 2.2.38 installiert.

    Vielen Dank.
     
  2. F4RR3LL

    F4RR3LL Member

    Verpass dem Server mal einen ordentlichen FQDN. Wenn Du diese ReverseDNS und Hostnamen der Hoster nutzt kommt genau sowas gern dabei raus. Das ist mittlerweile fast so schlimm wie eine Heimleitung als Mailserver zu nutzen ohne feste IP.
    Gruß Sven
     
  3. Falloutboy6

    Falloutboy6 Member

    Hallo,
    leider alles ohne Erfolg. Ich lande wieder ständig auf irgendwelchen Listen. Der Server wird am 31.01.15 abgeschalten aber bis dahin muss ich noch eine kostengünstige Lösung finden. Wer kann mir helfen?
    Gruß Benny
     
  4. Till

    Till Administrator

    Man landet an sich nur auf Listen, wenn der Server Spam versendet. Wenn du also einen neuen Server hast dann wird der neue sicher auch dort landen falls Du die Webseiten oder accounts die jetzt für das problem sorgen auf den neuen umziehst.

    Schau also mal in die mailqueue um rauszufinden, woher der spam kommt und fixe dann die webseite bzw. sperre das gehackte mailkonto. Absenderadressen kann man beliebig setzen, daher hat es nichst zu bendeuten dass es die adresse nicht gibt.

    Der return-path www-data@loft____.serverloft.de deutet ja darauf hin, dass eine website gehacked wurde.
     
  5. Falloutboy6

    Falloutboy6 Member

    Es wird dann keinen Server mehr geben. Zum 31.01. ist Schluss.
    Du hast doch selber schon bei mir geschaut.
     
  6. Till

    Till Administrator

    Achja, da hatten wir doch auch was gefunden in einer website, wenn ich mich recht entsinne?
     
  7. Falloutboy6

    Falloutboy6 Member

    Genau das habe ich dann gelöscht. Aber scheinbar ohne Erfolg
     
  8. Till

    Till Administrator

    Ich hatte ja für die Ursache des Problems gesucht dass zu dem damaligen Zeitpunkt auftrat, also nach dem Verursacher der mails die seinerzeit in der mailqueue waren. Es ist ja durchaus denkbar dass eine weitere Seite auf dem Server gehacked ist.
     
  9. Falloutboy6

    Falloutboy6 Member

    wie finde ich das heraus welche Seite der Verursacher ist?
     
  10. F4RR3LL

    F4RR3LL Member

    mailqueue und logfiles wäre der erste Ansatz.

    Gruß Sven
     
  11. Falloutboy6

    Falloutboy6 Member

    Ich finde in der mail.log folgendes

    Dec 12 06:33:34 loft1096 postfix/qmgr[19256]: 306CD74D7BB: from=<www-data@mail.hosting-hanna.de>, size=4226, nrcpt=1 (queue active)

    Woher weiß ich aber welche Website das ist?
     
  12. Till

    Till Administrator

    Du kannst mal in die php.ini sehen, Ich glaube ich hatte da ich ein script eingebaut welches die mit php mail() versendeten mails separat in /tmp/ logged. das hatte ich nach dem debugging deaktiviert. such mal nach sendmail_path in der php.ini und aktivier es wieder, dann starte postfix neu und schau mal was in das Log in /tmp geschrieben wird.
     
  13. Falloutboy6

    Falloutboy6 Member

    da steht nur

    ;sendmail_path =
    ;sendmail_path = /usr/local/bin/phpsendmail

    drin
     
  14. Till

    Till Administrator

    entferne mal das ; vor der längeren Zeile und starte apache neu. /usr/local/bin/phpsendmail ist ein wrapper script welches das log schreibt bevor es die mail and das sendmail binary weiter reicht.
     
  15. Falloutboy6

    Falloutboy6 Member

    getan. Da steht jetzt dann drin

    2014-12-12 16:51:28 /usr/local/bin/phpsendmail -- To: *@*.us From: "Facebook" <notification@*.de>
     
    Zuletzt bearbeitet: 12. Dez. 2014
  16. Till

    Till Administrator

    Ok, da kein Pfad drin steht konnte das script ihn nicht feststellen. Hast Du noch eine Webseite motorsport-k........de auf dem Server?

    Und bitte zensiere mal die Adressen in Deinem Post.
     
  17. Falloutboy6

    Falloutboy6 Member

    ja die Seite liegt noch da. Jetzt muss man rausbekommen welches Script das schuldige ist.
     
  18. Till

    Till Administrator

    Geh mal in den web folder und rufe dort auf der shell auf:

    grep -r eval *

    Die dateien die Du dann angezeigt bekommst solltest Du mal checken, da ist häufig was gehacktes dabei.
     

Diese Seite empfehlen