[Postfixbuch-users] wwwrun verschickt spam (wiederaufgenommen)

Andreas Blum blum at nef.wh.uni-dortmund.de
Di Mär 21 15:50:45 CET 2006


Hallo miteinander.
Ich fand eine Diskussion auf dieser Mailingliste, die ich gerne weiterführen
würde, da sie mich nun auch betrifft.

ANFANG:
wir haben apache und postfix auf einem Server laufen. Irgendwie
verschickt jemand ueber den apache spam. Solange wir das Loch nicht
gefunden haben, moechte ich wwwrun lokal sperren. Alle meine Versuche
hierzu sind allerdings fehl geschlagen und es gibt glaube ich keine Doku
mehr die ich nicht gelesen habe. Verstanden ist eine andere Sache :-(

ÜBERGANGSLÖSUNG: 
chmod 700 auf sendmail

LETZTER BEITRAG:
>Danke. In einer unserer Domains gab es ein Script FormMail.cgi ueber
>welches SPAM verschickt wurde.

Mein erster Verdacht wäre ein PHP-Skript wie ein Formmailer, der 
Spamming erlaubt. Oder PHPNuke hatte einige Sicherheitslöcher. Was 
sagen die Apache-Logfiles?
Gibts in der Mail kein Indiz drauf, wer sie lokal eingeliefert haben könnte?

MEIN PROBLEM:
Anfangs dasgleiche, ich habe es jetzt auch geschafft, den SPAM durch chmod
zu stoppen. Auch die beschriebenen Eintrage im httpd/error_log kamen dann
massiv auf, da wwwroot nicht mehr mailen kann. 
Doch finde ich nun keine Formmailer oder sonstige Scripte, die den Spam
verursachen. Ausserdem finden sich in den Accesslogs keine so häufigen
Aufrufe einer Seite, die dies verursachen könnte.
Hat jemand nun eine Idee, wie ich entwerder das böse Script herausfinden
kann? Oder wie ich sonst herrausfinden kann, wie und wo der wwwroot
ansonsten Mails abschicken will? In der crontab ist nichts verändert.

Gruss




Mehr Informationen über die Mailingliste Postfixbuch-users