[Postfixbuch-users] Injection? (warning: stripping too many comments from address)
Sebastian Deiszner
usenet at deiszner.de
Mi Okt 17 13:00:12 CEST 2007
David Obando schrieb:
> Hallo,
>
> gestern und heute habe ich je ca. 700x folgenden Eintrag in meinen Logs:
>
> Oct 17 10:09:29 server postfix/cleanup[23682]: warning: stripping too
> many comments from address:
> ssossessUssossessessossessAssossessUssossessessossessessossessUssossessessossessSssossessUssossesses...
>
> Es werden Mails von www-data nach extern versendet:
>
> Oct 17 10:08:19 server postfix/pickup[13165]: AD5B2266DB5: uid=33
> from=<www-data>
> Oct 17 10:08:19 server postfix/cleanup[18078]: AD5B2266DB5:
> message-id=<20071017080819.AD5B2266DB5 at server.domain.de>
> Oct 17 10:08:19 server postfix/qmgr[3664]: AD5B2266DB5:
> from=<www-data at server.domain.de>, size=50095, nrcpt=1 (queue active)
> Oct 17 10:08:20 server postfix/smtp[21973]: AD5B2266DB5:
> to=<041736xxxx at nhtv.nl>, relay=mailq.nhtv.nl[194.171.191.226]:25,
> delay=0.78, delays=0.3/0/0.29/0.19, dsn=2.0.0, status=sent (250 BMZ54763
> Message accepted for delivery)
> Oct 17 10:08:20 server postfix/qmgr[3664]: AD5B2266DB5: removed
>
>
> Ich vermute, dass die Mails über eine Website auf meinem Server
> injiziert werden, leider ist aus den Logs nicht ersichtlich, welche
> Website das ist.
> Welche Möglichkeiten gibt es, zu sehen, für wen (also für welche
> Website) www-data ein Mail abschickt?
>
>
>
> Danke und Grüße,
> David
>
Du hast das Datum und die Zeit - also durchsuche alle Apache-Logs nach
einem POST-Befehl und vor allem - tritt dem User mit dem fehlerhafen
Formular in die Weichteile
irgendwann gab es mal hier einen Thread zum Thema "Mailversand vom
www-data sperren" - such mal bei google nach diesem Thema
Mehr Informationen über die Mailingliste Postfixbuch-users