[Postfixbuch-users] wwwrun verschickt spam (wiederaufgenommen)
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
Di Mär 21 16:25:37 CET 2006
Andreas Blum wrote:
> Hallo miteinander.
> Ich fand eine Diskussion auf dieser Mailingliste, die ich gerne weiterführen
> würde, da sie mich nun auch betrifft.
>
> ANFANG:
> wir haben apache und postfix auf einem Server laufen. Irgendwie
> verschickt jemand ueber den apache spam. Solange wir das Loch nicht
> gefunden haben, moechte ich wwwrun lokal sperren. Alle meine Versuche
> hierzu sind allerdings fehl geschlagen und es gibt glaube ich keine Doku
> mehr die ich nicht gelesen habe. Verstanden ist eine andere Sache :-(
main.cf:
postconf -e "authorized_submit_users = !wwwrun, static:all"
postfix restart (sicher ist sicher ;-)
> ÜBERGANGSLÖSUNG:
> chmod 700 auf sendmail
Da würde ich vorsichtig sein, das könnte viele Scripte, die Mails
verschicken, abwürgen.
> MEIN PROBLEM:
> Anfangs dasgleiche, ich habe es jetzt auch geschafft, den SPAM durch chmod
> zu stoppen. Auch die beschriebenen Eintrage im httpd/error_log kamen dann
> massiv auf, da wwwroot nicht mehr mailen kann.
> Doch finde ich nun keine Formmailer oder sonstige Scripte, die den Spam
> verursachen. Ausserdem finden sich in den Accesslogs keine so häufigen
> Aufrufe einer Seite, die dies verursachen könnte.
> Hat jemand nun eine Idee, wie ich entwerder das böse Script herausfinden
> kann? Oder wie ich sonst herrausfinden kann, wie und wo der wwwroot
> ansonsten Mails abschicken will? In der crontab ist nichts verändert.
Untersuche ALLE Scripte, auf die wwwrun Zugriff hat. Dazu gehört auch das
/tmp-Verzeichnis. In letzter Zeit ist es öfter vorgekommen, dass über ein
schlecht abgesichertes Script ein eigenes Script vom Spammer in /tmp
abgelegt werden konnte und dieses dann über den Webserver direkt
aufgerufen und ausgeführt wurde.
Sandy
Mehr Informationen über die Mailingliste Postfixbuch-users