[Postfixbuch-users] Fwd: from <>
Gregor Hermens
gregor at a-mazing.de
Mi Jun 14 14:14:53 CEST 2006
Am Mittwoch, 14. Juni 2006 14:02 schrieb Damian Hischier:
> Die UID ist der unser nobody
>
> Hier der grep
>
> Jun 13 23:14:02 mail postfix/pickup[25132]: D3C2526507: uid=65534
> from=<lidia at planetnet.com>
> Jun 13 23:14:02 mail postfix/cleanup[24]: D3C2526507:
> message-id=<20060613211332.462E826508 at mail.top-view.ch>
> Jun 13 23:14:02 mail postfix/nqmgr[1144]: D3C2526507:
> from=<lidia at planetnet.com>, size=4257, nrcpt=2 (queue active)
> Jun 13 23:14:03 mail postfix/smtp[62]: D3C2526507:
> to=<accounting at hischier.net>, relay=none, delay=0, status=bounced (mail
> for hischier.net loops back to myself)
> Jun 13 23:14:03 mail postfix/smtp[62]: D3C2526507:
> to=<accounts at hischier.net>, relay=none, delay=1, status=bounced (mail
> for hischier.net loops back to myself)
Sandy hat vermutlich recht: Du hast einen Webserver unter dem User nobody
laufen. Irgendwo gibt es dann einen ungesicherten Formmailer / Gästebuch /
Kontaktformular, den sich ein Spammer zu Nutze macht.
Nächster Schritt: Weitersuchen im Access-Log des Webservers.
Ausgangspunkt: Jun 13:23:14:02 oder kurz davor, vorzugsweise Dateien
in /cgi-bin/, PHP-Skripte usw. ...
Die Datei wird entweder per POST aufgerufen oder enthält in der URL ziemlich
viele Parameter. Ein Grep auf die verwendeten Absender- und Empfängeradressen
kann auch nicht schaden.
Gruß,
Gregor
--
@mazing.de fon +49 8142 6528665
Gregor Hermens fax +49 8142 6528669
Brucker Strasse 12 gregor.hermens at a-mazing.de
D-82216 Gernlinden http://www.a-mazing.de/
Mehr Informationen über die Mailingliste Postfixbuch-users