P
passbreak2001
Grünschnabel
Hallo,
habe das gleiche Problem wie gigi66. Vermutlich auch die gleiche Hacker Crew. Ursache bei mir war ein veraltetes PHP Script (Wie bei ihm). Habe Postfix abgeschlatet bis das Problem geklärt ist.
Mein Problem aus dem ich nicht schlau werde: auch nach dem löschen des PHP Dokuments ging das Mailing nach einigen Stunden weiter. Habe sofort alle s offline geschickt. Während dem versenden von Massenmails wurde kein Webdokument angesprochen. Finde nicht heraus wie die die Mails verschicken
Merkwürdig ist das mail.log/mail.info & syslog die gleichen Einträge beeinhalten. Das versenden der Mails erfolgt über den www-data user von apache (aber ohne eine Webdatei anzusprechen?!?!!?).
Hier mal ein kurzer Auszug aus der Maillog:
Kann mir bitte einer Erklären was das hier soll:
(Access Log von Confixx selbst)
Im unteren Teil werden lauter Adressen zu PHP Kontaktmailern angegeben. Was haben Die in der Accesslog zu suchen? Was bedeutet das Zahlenwirrwar oberhalb?
Kann ich irgendwie verhindern das über den www-data user Emails nach aussen verschickt werden? Wie kann ich darauf schliessen wie die Emails versendet werden, da ja kein Dokument auf dem Server dazu verwendet wird?
DANKE FÜR INTERESSE UND HILFE !!!
Problematisch ist für mich das der Anbieter auf den Vservern IPtables und IPchains kernelseitig ausgeschlossen haben.
habe das gleiche Problem wie gigi66. Vermutlich auch die gleiche Hacker Crew. Ursache bei mir war ein veraltetes PHP Script (Wie bei ihm). Habe Postfix abgeschlatet bis das Problem geklärt ist.
Mein Problem aus dem ich nicht schlau werde: auch nach dem löschen des PHP Dokuments ging das Mailing nach einigen Stunden weiter. Habe sofort alle s offline geschickt. Während dem versenden von Massenmails wurde kein Webdokument angesprochen. Finde nicht heraus wie die die Mails verschicken
Merkwürdig ist das mail.log/mail.info & syslog die gleichen Einträge beeinhalten. Das versenden der Mails erfolgt über den www-data user von apache (aber ohne eine Webdatei anzusprechen?!?!!?).
Hier mal ein kurzer Auszug aus der Maillog:
Code:
Aug 18 21:14:54 vsxxx postfix/qmgr[27298]: B3FE5162BC: from=<www-data@vsxxx.vserver4free.de>, size=4293, nrcpt=1 (queue active)
Aug 18 21:14:54 vsxxx postfix/qmgr[27298]: E65F71A3FE: from=<www-data@vsxxx.vserver4free.de>, size=2773, nrcpt=1 (queue active)
Aug 18 21:14:54 vsxxx postfix/pickup[27297]: 9E1B522E77: uid=0 from=<root>
Aug 18 21:14:54 vsxxx postfix/cleanup[27403]: 9E1B522E77: message-id=<20060818160908.9E1B522E77@vvsxxx.vserver4free.de>
Aug 18 21:14:54 vsxxx postfix/cleanup[27408]: A1F2922E78: message-id=<20060818191454.A1F2922E78@vsxxx.vserver4free.de>
Aug 18 21:14:54 vsxxx postfix/qmgr[27298]: B76E1190B1: from=<www-data@vsxxx.vserver4free.de>, size=5293, nrcpt=1 (queue active)
Aug 18 21:14:54 vsxxx postfix/qmgr[27298]: E54DD1A67D: from=<www-data@vsxxx.vserver4free.de>, size=1140, nrcpt=1 (queue active)
Aug 18 21:14:54 vsxxx postfix/smtp[27393]: connect to pavo.pa.msu.edu[35.9.70.10]: No route to host (port 25)
Kann mir bitte einer Erklären was das hier soll:
(Access Log von Confixx selbst)
Code:
62.75.214.243 - - [13/Jun/2006:22:50:53 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
81.169.176.15 - - [14/Jun/2006:01:43:24 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.14.208.50 - - [14/Jun/2006:10:18:22 +0200] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H
...
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
(so geht das seitenweise)
...
84.16.119.105 - - [28/Jun/2006:17:26:49 +0200] "GET / HTTP/1.0" 302 - "-" "-"
84.16.119.105 - - [28/Jun/2006:17:39:15 +0200] "GET / HTTP/1.0" 302 - "-" "-"
84.16.119.105 - - [28/Jun/2006:19:17:32 +0200] "GET / HTTP/1.0" 302 - "-" "-"
201.18.140.196 - - [28/Jun/2006:22:15:01 +0200] "POST http://www.alexander-hain.de/kontakt.php HTTP/1.1" 404 1277 "http://www.alexander-hain.de/" "-"
201.18.140.196 - - [28/Jun/2006:22:15:03 +0200] "POST http://www.alexander-hain.de/kontakt.php HTTP/1.1" 404 1277 "http://www.alexander-hain.de/" "-"
201.18.140.196 - - [28/Jun/2006:22:15:07 +0200] "POST http://www.mailshop.de/contact_us.php HTTP/1.1" 404 1259 "http://www.mailshop.de/" "-"
201.18.140.196 - - [28/Jun/2006:22:15:09 +0200] "POST http://online.mydpi.com.tw/contact_us.php?action=send&osCsid=94cdda63438f8842b9df50105ad41e86 HTTP/1.1" 404 1271 "http://online.mydpi.com.tw/" "-"
201.18.140.196 - - [28/Jun/2006:22:15:12 +0200] "POST http://www.Adar.cz/cs/zpracuj_dotaz.php HTTP/1.1" 404 1247 "http://www.Adar.cz/" "-"
201.18.140.196 - - [28/Jun/2006:22:15:17 +0200] "POST http://www.Adar.cz/cs/zpracuj_dotaz.php HTTP/1.1" 404 1247 "http://www.Adar.cz/" "-"
201.18.140.196 - - [28/Jun/2006:22:15:23 +0200] "POST http://www.kredietgids.com/tellafriend.php HTTP/1.1" 404 1271 "http://www.kredietgids.com/" "-"
201.18.140.196 - - [28/Jun/2006:22:15:26 +0200] "POST http://www.kredietgids.com/tellafriend.php HTTP/1.1" 404 1271 "http://www.kredietgids.com/" "-"
201.18.140.196 - - [28/Jun/2006:22:15:29 +0200] "POST http://oh-bebe.net/amailzing/amailzing.php HTTP/1.1" 404 1247 "http://oh-bebe.net/" "-"
201.18.140.196 - - [28/Jun/2006:22:15:32 +0200] "POST http://oh-bebe.net/amailzing/amailzing.php HTTP/1.1" 404 1247 "http://oh-bebe.net/"
Im unteren Teil werden lauter Adressen zu PHP Kontaktmailern angegeben. Was haben Die in der Accesslog zu suchen? Was bedeutet das Zahlenwirrwar oberhalb?
Kann ich irgendwie verhindern das über den www-data user Emails nach aussen verschickt werden? Wie kann ich darauf schliessen wie die Emails versendet werden, da ja kein Dokument auf dem Server dazu verwendet wird?
DANKE FÜR INTERESSE UND HILFE !!!
Problematisch ist für mich das der Anbieter auf den Vservern IPtables und IPchains kernelseitig ausgeschlossen haben.
Zuletzt bearbeitet: