* Dominic Pratt hallo@dominicpratt.de:
Hi Leute,
momentan habe ich einen Kunden, von dessen Server Spam versendet wird - vermutlich über den Apachen.
Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from localhost.localdomain[127.0.0.1]
Das könnte natürlich auch via content_filter reinkommen
Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:client=localhost.localdomain[127.0.0.1] Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5: message-id=20130118221605.41453.qmail@officeax.server17.xxx.de Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: from=vivienr@simamaung.com, size=1331, nrcpt=2 (queue active) Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: to=asdf@sdf.com, relay=none, delay=0.45, delays=0.26/0.02/0.17/0, dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself) Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
server17.xxx.de ist die betroffene Maschine, die einen Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.
Ist ja nur die Message-ID, das muss nichts heissen.
Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.
Du kannst nur zeitlich um "Jan 18 18:33:14" im Log gucken und nach verdächtigen POST requests suchen.