
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

  <head>


    <meta http-equiv="content-type" content="text/html; charset=ISO-8859-15">

  </head>

  <body text="#000000" bgcolor="#ffffff">

    Hi Leute,<br>

    <br>

    momentan habe ich einen Kunden, von dessen Server Spam versendet

    wird - vermutlich über den Apachen.<br>

    <blockquote>Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect

      from localhost.localdomain[127.0.0.1]<br>

      Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:

      client=localhost.localdomain[127.0.0.1]<br>

      Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:

      message-id=<a class="moz-txt-link-rfc2396E"

        href="mailto:20130118221605.41453.qmail@officeax.server17.xxx.de"><20130118221605.41453.qmail@officeax.server17.xxx.de></a><br>

      Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: from=<a

        class="moz-txt-link-rfc2396E"

        href="mailto:vivienr@simamaung.com"><vivienr@simamaung.com></a>,

      size=1331, nrcpt=2 (queue active)<br>

      Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: to=<a

        class="moz-txt-link-rfc2396E" href="mailto:asdf@sdf.com"><asdf@sdf.com></a>,

      relay=none, delay=0.45, delays=0.26/0.02/0.17/0, dsn=5.4.6,

      status=bounced (mail for sdf.com loops back to myself)<br>

      Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7:

      message-id=<a class="moz-txt-link-rfc2396E"

        href="mailto:20130118173319.ABF30B10BA7@server17.xxx.de"><20130118173319.ABF30B10BA7@server17.xxx.de></a><br>

      Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5:

      sender non-delivery notification: ABF30B10BA7<br>

      Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7:

      from=<>, size=3206, nrcpt=1 (queue active)<br>

      Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed<br>

    </blockquote>

    server17.xxx.de ist die betroffene Maschine, die einen

    Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail

    hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.<br>

    <br>

    Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige

    Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost

    kommen.<br>

    <br>

    Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich

    sind mit unseren Latein am Ende.<br>

    <br>

    Grüße,<br>

    Dominic

    <pre class="moz-signature" cols="72">-- 

"If you haven’t found it yet, keep looking. Don’t settle."


Dominic Pratt

Fachinformatiker Systemintegration


Website: <a class="moz-txt-link-freetext" href="http://dominicpratt.de">http://dominicpratt.de</a>

Twitter: <a class="moz-txt-link-freetext" href="http://twitter.com/servermagier">http://twitter.com/servermagier</a>

Facebook: <a class="moz-txt-link-freetext" href="http://facebook.com/servermagier">http://facebook.com/servermagier</a>

Xing: <a class="moz-txt-link-freetext" href="https://www.xing.com/profile/Dominic_Pratt">https://www.xing.com/profile/Dominic_Pratt</a></pre>

  </body>

</html>