[Postfixbuch-users] wwwrun verschickt spam (wiederaufgenommen)

[Sandy Drobic]

Andreas Blum wrote:
> Hallo miteinander.
> Ich fand eine Diskussion auf dieser Mailingliste, die ich gerne weiterführen
> würde, da sie mich nun auch betrifft.
> 
> ANFANG:
> wir haben apache und postfix auf einem Server laufen. Irgendwie
> verschickt jemand ueber den apache spam. Solange wir das Loch nicht
> gefunden haben, moechte ich wwwrun lokal sperren. Alle meine Versuche
> hierzu sind allerdings fehl geschlagen und es gibt glaube ich keine Doku
> mehr die ich nicht gelesen habe. Verstanden ist eine andere Sache :-(

main.cf:
postconf -e "authorized_submit_users = !wwwrun, static:all"

postfix restart (sicher ist sicher ;-)


> ÜBERGANGSLÖSUNG: 
> chmod 700 auf sendmail

Da würde ich vorsichtig sein, das könnte viele Scripte, die Mails 
verschicken, abwürgen.

> MEIN PROBLEM:
> Anfangs dasgleiche, ich habe es jetzt auch geschafft, den SPAM durch chmod
> zu stoppen. Auch die beschriebenen Eintrage im httpd/error_log kamen dann
> massiv auf, da wwwroot nicht mehr mailen kann. 
> Doch finde ich nun keine Formmailer oder sonstige Scripte, die den Spam
> verursachen. Ausserdem finden sich in den Accesslogs keine so häufigen
> Aufrufe einer Seite, die dies verursachen könnte.
> Hat jemand nun eine Idee, wie ich entwerder das böse Script herausfinden
> kann? Oder wie ich sonst herrausfinden kann, wie und wo der wwwroot
> ansonsten Mails abschicken will? In der crontab ist nichts verändert.

Untersuche ALLE Scripte, auf die wwwrun Zugriff hat. Dazu gehört auch das 
/tmp-Verzeichnis. In letzter Zeit ist es öfter vorgekommen, dass über ein 
schlecht abgesichertes Script ein eigenes Script vom Spammer in /tmp 
abgelegt werden konnte und dieses dann über den Webserver direkt 
aufgerufen und ausgeführt wurde.

Sandy