Server ständig auf CBL

Dieses Thema im Forum "Allgemein" wurde erstellt von Falloutboy6, 17. Sep. 2014.

  1. Falloutboy6

    Falloutboy6 Member

    Hallo,
    mein Server landet ständig auf verschiedenen Listen. Wenn ich in die Queue schaue ist mir aufgefallen, das massig Mails von der E-Mailadresse www-data@loft1096.serverloft.de weggehen. Das ist aber keine E-Mailadresse von einem User. Wie finde ich jetzt raus warum davon SPAM verschickt wird?

    Code:
    313906AC027     3475 Sat Sep 13 07:15:06  www-data@loft1096.serverloft.de
    (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[66.196.118.36] while sending RCPT TO)
                                             heyface54@yahoo.com
    Der Empfänger ist immer wieder ein anderer.
    Danke für eure Hilfe.
     
  2. Till

    Till Administrator

    Schau mal in die Mail mit postcat rein. Wenn Sie per php versendet wurde, dann sollte da der Name des PHP Scriptes drin stehen. Also:
    Code:
    postcat /var/spool/postfix/deferred/3/313906AC027
     
  3. Falloutboy6

    Falloutboy6 Member

    ah ok also müsste es dann dieser hier sein oder?
    Code:
    X-Mailer: Achi-KochiMailLitever1.00
     
  4. Till

    Till Administrator

    Such mal nach php:
    Code:
    postcat /var/spool/postfix/deferred/3/313906AC027 | grep php
     
  5. Falloutboy6

    Falloutboy6 Member

    Da bekomme ich dann

    Code:
    <a href="http://vtemplates.org/xml.php?u=4T0gqmLhOjc03peKIqPWxg">
     
  6. Till

    Till Administrator

  7. Falloutboy6

    Falloutboy6 Member

    ok dass ist das Ergebnis

    Code:
    Sep 17 13:39:08 maldet(24279): {scan} scan of /var/www/ (501851 files) in progress...
    Sep 17 15:45:24 maldet(24279): {scan} scan completed on /var/www/: files 501851, malware hits 21, cleaned hits 0
    Sep 17 15:45:24 maldet(24279): {scan} scan report saved, to view run: maldet --report 091714-1336.24279
    Sep 17 15:45:24 maldet(24279): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 091714-1336.24279
    Sep 17 15:45:25 maldet(24279): {alert} sent scan report to
     
  8. Till

    Till Administrator

    Dann schau Dir mal das Ergebnis an mit:
    maldet --report 091714-1336.24279
    und prüfe die 21 dort aufgelisteten Dateien.
     
  9. Falloutboy6

    Falloutboy6 Member

    19 E-Mails
    1 PHP-Datei {HEX}php.cmdshell.SimShell.349
    1 JPG-Datei
     
  10. Till

    Till Administrator

    Du musst schon in die Dateien rein sehen um festzustellen ob es Hacker Scripte sind oder nicht. Die .jpg Datei ist wahrscheinlich ein getarntes Script und die .php Datei wird laut Name ein Command Shell enthalten.
     

Diese Seite empfehlen