[Postfixbuch-users] Injection? (warning: stripping too many comments from address)

David Obando david at cryptix.de
Mi Okt 17 12:56:54 CEST 2007


Hallo,

gestern und heute habe ich je ca. 700x folgenden Eintrag in meinen Logs:

Oct 17 10:09:29 server postfix/cleanup[23682]: warning: stripping too
many comments from address:
ssossessUssossessessossessAssossessUssossessessossessessossessUssossessessossessSssossessUssossesses...

Es werden Mails von www-data nach extern versendet:

Oct 17 10:08:19 server postfix/pickup[13165]: AD5B2266DB5: uid=33
from=<www-data>
Oct 17 10:08:19 server postfix/cleanup[18078]: AD5B2266DB5:
message-id=<20071017080819.AD5B2266DB5 at server.domain.de>
Oct 17 10:08:19 server postfix/qmgr[3664]: AD5B2266DB5:
from=<www-data at server.domain.de>, size=50095, nrcpt=1 (queue active)
Oct 17 10:08:20 server postfix/smtp[21973]: AD5B2266DB5:
to=<041736xxxx at nhtv.nl>, relay=mailq.nhtv.nl[194.171.191.226]:25,
delay=0.78, delays=0.3/0/0.29/0.19, dsn=2.0.0, status=sent (250 BMZ54763
Message accepted for delivery)
Oct 17 10:08:20 server postfix/qmgr[3664]: AD5B2266DB5: removed


Ich vermute, dass die Mails über eine Website auf meinem Server
injiziert werden, leider ist aus den Logs nicht ersichtlich, welche
Website das ist.
Welche Möglichkeiten gibt es, zu sehen, für wen (also für welche
Website) www-data ein Mail abschickt?



Danke und Grüße,
David

-- 
The day microsoft makes something that doesn't suck is the day they start making vacuum cleaners.
gpg --keyserver pgp.mit.edu --recv-keys 1920BD87
Key fingerprint = 3326 32CE 888B DFF1 DED3  B8D2 105F 29CB 1920 BD87




Mehr Informationen über die Mailingliste Postfixbuch-users