[postfix-users] Spam-Versand via Localhost
Hi Leute,
momentan habe ich einen Kunden, von dessen Server Spam versendet wird - vermutlich über den Apachen.
Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from localhost.localdomain[127.0.0.1] Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5: client=localhost.localdomain[127.0.0.1] Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5: message-id=20130118221605.41453.qmail@officeax.server17.xxx.de Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: from=vivienr@simamaung.com, size=1331, nrcpt=2 (queue active) Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: to=asdf@sdf.com, relay=none, delay=0.45, delays=0.26/0.02/0.17/0, dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself) Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7: message-id=20130118173319.ABF30B10BA7@server17.xxx.de Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender non-delivery notification: ABF30B10BA7 Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>, size=3206, nrcpt=1 (queue active) Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
server17.xxx.de ist die betroffene Maschine, die einen Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.
Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.
Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich sind mit unseren Latein am Ende.
Grüße, Dominic
Am 19.01.2013 10:57, schrieb Dominic Pratt:
Hi Leute,
momentan habe ich einen Kunden, von dessen Server Spam versendet wird - vermutlich über den Apachen.
Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from localhost.localdomain[127.0.0.1] Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5: client=localhost.localdomain[127.0.0.1] Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5: message-id=<20130118221605.41453.qmail@officeax.server17.xxx.de> Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: from=<vivienr@simamaung.com>, size=1331, nrcpt=2 (queue active) Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: to=<asdf@sdf.com>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0, dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself) Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7: message-id=<20130118173319.ABF30B10BA7@server17.xxx.de> Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender non-delivery notification: ABF30B10BA7 Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>, size=3206, nrcpt=1 (queue active) Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removedserver17.xxx.de ist die betroffene Maschine, die einen Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.
Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.
Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich sind mit unseren Latein am Ende.
wenn es ueber den apache reinkommt, muss du in dessen log suchen
zb grep simamaung /var/log/apache/access_log etc
der con von localhost muss aber nicht zwingend der apache sein dass kann auch jeder andere prozess sein der an localhost einliefern darf
Grüße, Dominic
-- "If you haven’t found it yet, keep looking. Don’t settle."
Dominic Pratt Fachinformatiker Systemintegration
Website: http://dominicpratt.de Twitter: http://twitter.com/servermagier Facebook: http://facebook.com/servermagier Xing: https://www.xing.com/profile/Dominic_Pratt
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
* Dominic Pratt hallo@dominicpratt.de:
Hi Leute,
momentan habe ich einen Kunden, von dessen Server Spam versendet wird - vermutlich über den Apachen.
Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from localhost.localdomain[127.0.0.1]
Das könnte natürlich auch via content_filter reinkommen
Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:client=localhost.localdomain[127.0.0.1] Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5: message-id=20130118221605.41453.qmail@officeax.server17.xxx.de Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: from=vivienr@simamaung.com, size=1331, nrcpt=2 (queue active) Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: to=asdf@sdf.com, relay=none, delay=0.45, delays=0.26/0.02/0.17/0, dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself) Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
server17.xxx.de ist die betroffene Maschine, die einen Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.
Ist ja nur die Message-ID, das muss nichts heissen.
Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.
Du kannst nur zeitlich um "Jan 18 18:33:14" im Log gucken und nach verdächtigen POST requests suchen.
participants (3)
-
Dominic Pratt -
Ralf Hildebrandt -
Robert Schetterer