[Postfixbuch-users] Spam über www-data

Jan Theofel theofel at etes.de
Di Aug 4 16:45:01 CEST 2009


Hallo,

On Tue, Aug 04, 2009 at 04:17:11PM +0200, Online-WebService24 - Postfix wrote:
>  
> ich habe mal ne frage, mein server versendet über www-data spammails ...
> kann ich das unterbinden ???
> wie bekomm ich raus, wie die das machen ???

Über Postfix wirst du da nicht viel machen können. Es sei denn du hast keine
einzige Webanwendung, irgendwelche Mails an Kunden etc. versendet. (Das ist
ja fast überall der Fall.)

Primäre musst du dich in diesem Fall um deinen Apache kümmern. Genau genommen
um die PHP/Perl/Python/was-auch-immer-Skripte dir da laufen. Vermutlich ist
es ein unsicheres Kontaktformular oder so was.

Beliebt ist zum Beispiel, dass Sonderzeichen und Newlines in den Variablen
nicht unterbunden werden, die in den Header integriert werden. 

Das Skript schreibt dann z.B. die Absenderadresse ungeprüft so in den Header:

From: $from

Der Spammer sendet dann ein "<foo at bar.com>\nCc: <spamopfer1 at foo.com>, <spamopfer2 at bar.com>, ..."
als Absender-E-Mail und schon kann er an beliebige Personen Mails über das
Formular versenden.

Es gibt aber noch zahlreiche andere Einfallstore in unsicheren Webscripten. 
Ein Blick in deine Apache-Logfiles hilft vielleicht dabei ungewöhnliche 
Requests zu erkennen. Den fraglichen Dateien der Webseite(n) solltest du
dann erst mal die Rechte entziehen - auch wenn dann Teile der Webseite eben
nicht mehr laufen.

Jan


-- 
Jan Theofel                   Mail: theofel at etes.de
ETES GmbH                     Fon : +49 (7 11) 48 90 83 - 17
Gablenberger Hauptstrasse 32  Fax : +49 (7 11) 48 90 83 - 50
D-70186 Stuttgart             Web : http://www.etes.de/

Registergericht: Amtsgericht Stuttgart HRB 721182
Geschäftsführende Gesellschafter: Markus Espenhain und Jan Theofel
Sitz der Gesellschaft: Stuttgart
USt.-Id.Nr.: DE814767446 




Mehr Informationen über die Mailingliste Postfixbuch-users