[Postfixbuch-users] Injection? (warning: stripping too many comments from address)

Sebastian Deiszner usenet at deiszner.de
Mi Okt 17 13:00:12 CEST 2007


David Obando schrieb:
> Hallo,
> 
> gestern und heute habe ich je ca. 700x folgenden Eintrag in meinen Logs:
> 
> Oct 17 10:09:29 server postfix/cleanup[23682]: warning: stripping too
> many comments from address:
> ssossessUssossessessossessAssossessUssossessessossessessossessUssossessessossessSssossessUssossesses...
> 
> Es werden Mails von www-data nach extern versendet:
> 
> Oct 17 10:08:19 server postfix/pickup[13165]: AD5B2266DB5: uid=33
> from=<www-data>
> Oct 17 10:08:19 server postfix/cleanup[18078]: AD5B2266DB5:
> message-id=<20071017080819.AD5B2266DB5 at server.domain.de>
> Oct 17 10:08:19 server postfix/qmgr[3664]: AD5B2266DB5:
> from=<www-data at server.domain.de>, size=50095, nrcpt=1 (queue active)
> Oct 17 10:08:20 server postfix/smtp[21973]: AD5B2266DB5:
> to=<041736xxxx at nhtv.nl>, relay=mailq.nhtv.nl[194.171.191.226]:25,
> delay=0.78, delays=0.3/0/0.29/0.19, dsn=2.0.0, status=sent (250 BMZ54763
> Message accepted for delivery)
> Oct 17 10:08:20 server postfix/qmgr[3664]: AD5B2266DB5: removed
> 
> 
> Ich vermute, dass die Mails über eine Website auf meinem Server
> injiziert werden, leider ist aus den Logs nicht ersichtlich, welche
> Website das ist.
> Welche Möglichkeiten gibt es, zu sehen, für wen (also für welche
> Website) www-data ein Mail abschickt?
> 
> 
> 
> Danke und Grüße,
> David
> 

Du hast das Datum und die Zeit - also durchsuche alle Apache-Logs nach 
einem POST-Befehl und vor allem - tritt dem User mit dem fehlerhafen 
Formular in die Weichteile

irgendwann gab es mal hier einen Thread zum Thema "Mailversand vom 
www-data sperren" - such mal bei google  nach diesem Thema



Mehr Informationen über die Mailingliste Postfixbuch-users