[Postfixbuch-users] Spam über www-data
Jan Theofel
theofel at etes.de
Di Aug 4 16:45:01 CEST 2009
Hallo,
On Tue, Aug 04, 2009 at 04:17:11PM +0200, Online-WebService24 - Postfix wrote:
>
> ich habe mal ne frage, mein server versendet über www-data spammails ...
> kann ich das unterbinden ???
> wie bekomm ich raus, wie die das machen ???
Über Postfix wirst du da nicht viel machen können. Es sei denn du hast keine
einzige Webanwendung, irgendwelche Mails an Kunden etc. versendet. (Das ist
ja fast überall der Fall.)
Primäre musst du dich in diesem Fall um deinen Apache kümmern. Genau genommen
um die PHP/Perl/Python/was-auch-immer-Skripte dir da laufen. Vermutlich ist
es ein unsicheres Kontaktformular oder so was.
Beliebt ist zum Beispiel, dass Sonderzeichen und Newlines in den Variablen
nicht unterbunden werden, die in den Header integriert werden.
Das Skript schreibt dann z.B. die Absenderadresse ungeprüft so in den Header:
From: $from
Der Spammer sendet dann ein "<foo at bar.com>\nCc: <spamopfer1 at foo.com>, <spamopfer2 at bar.com>, ..."
als Absender-E-Mail und schon kann er an beliebige Personen Mails über das
Formular versenden.
Es gibt aber noch zahlreiche andere Einfallstore in unsicheren Webscripten.
Ein Blick in deine Apache-Logfiles hilft vielleicht dabei ungewöhnliche
Requests zu erkennen. Den fraglichen Dateien der Webseite(n) solltest du
dann erst mal die Rechte entziehen - auch wenn dann Teile der Webseite eben
nicht mehr laufen.
Jan
--
Jan Theofel Mail: theofel at etes.de
ETES GmbH Fon : +49 (7 11) 48 90 83 - 17
Gablenberger Hauptstrasse 32 Fax : +49 (7 11) 48 90 83 - 50
D-70186 Stuttgart Web : http://www.etes.de/
Registergericht: Amtsgericht Stuttgart HRB 721182
Geschäftsführende Gesellschafter: Markus Espenhain und Jan Theofel
Sitz der Gesellschaft: Stuttgart
USt.-Id.Nr.: DE814767446
Mehr Informationen über die Mailingliste Postfixbuch-users