Hi Leute,
momentan habe ich einen Kunden, von dessen Server Spam versendet
wird - vermutlich über den Apachen.
Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect
from localhost.localdomain[127.0.0.1]
Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:
client=localhost.localdomain[127.0.0.1]
Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
message-id=<20130118221605.41453.qmail@officeax.server17.xxx.de>
Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5:
from=<vivienr@simamaung.com>, size=1331, nrcpt=2 (queue
active)
Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5:
to=<asdf@sdf.com>, relay=none, delay=0.45,
delays=0.26/0.02/0.17/0, dsn=5.4.6, status=bounced (mail for
sdf.com loops back to myself)
Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7:
message-id=<20130118173319.ABF30B10BA7@server17.xxx.de>
Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5:
sender non-delivery notification: ABF30B10BA7
Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7:
from=<>, size=3206, nrcpt=1 (queue active)
Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
server17.xxx.de ist die betroffene Maschine, die einen
Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail
hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.
Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige
Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost
kommen.
Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich
sind mit unseren Latein am Ende.
Grüße,
Dominic
--
"If you haven’t found it yet, keep looking. Don’t settle."
Dominic Pratt
Fachinformatiker Systemintegration
Website: http://dominicpratt.de
Twitter: http://twitter.com/servermagier
Facebook: http://facebook.com/servermagier
Xing: https://www.xing.com/profile/Dominic_Pratt