PDA

Bekijk Volledige Versie : PHPscript verstuurd spam



Niekoesj
15/02/10, 20:12
Beste WHT'ers,

Sinds vorige week loopt de wachtrij van m'n mail/webserver vol met berichten die nog verstuurd moeten worden. Mijn grootste angst is werkelijkheid geworden en ik vrees dat een php-script sendmail misbruikt.

Nu is mijn vraag, hoe kom ik erachter welk php-script deze rotzooi (ja zo mag je het wel noemen) verstuurd. De server bevat zo'n 30 domeinen en heb al een beetje lopen zoeken in diverse logfiles maar niets kunnen opmaken.

Heeft iemand hier ervaring mee? of enige hint in de goede richting voor me? :)
Uiteraard is open-relay dichtgezet. :whistling:
De specificaties: openSUSE 10.3 inkl. Plesk 8.6.

Bedankt voor het lezen :W:

DC^
15/02/10, 20:21
Heb je al in de logs van de mailserver gekeken?

Niekoesj
15/02/10, 20:23
Beste DC,

Jazeker, maar het betreft mailtjes afkomstig van sendmail dus mag ik toch aannemen dat deze niet zichtbaar zijn in de maillog van Qmail? Mind me if i'm wrong :D

Niekoesj
15/02/10, 20:27
Stukje logging waar mailtjes worden verzonden naar vreemde adressen:
van anonymous@s1.xxx.nl naar zomaar diverse adressen (waar s1.xxx.nl mijn server is).

Feb 14 00:57:48 s1.xxx.nl qmail: 1266105468.040690 status: local 0/10 remote 0/20
Feb 14 00:59:21 s1.xxx.nl qmail: 1266105561.073078 starting delivery 12106: msg 8785337 to remote zomaareenmailadres@o2.pl
Feb 14 00:59:21 s1.xxx.nl qmail: 1266105561.073240 status: local 0/10 remote 1/20
Feb 14 00:59:21 s1.xxx.nl qmail-remote-handlers[9299]: Handlers Filter before-remote for qmail started ...
Feb 14 00:59:21 s1.xxx.nl qmail-remote-handlers[9299]: from=anonymous@s1.xxx.nl
Feb 14 00:59:21 s1.xxx.nl qmail-remote-handlers[9299]: to=zomaarmailadres@o2.pl
Feb 14 00:59:21 s1.xxx.nl qmail: 1266105561.330827 delivery 12106: deferral: 193.17.41.45_does_not_like_recipient./Remote_host_said:_450_Please_try_later/Giving_up_on_193.17.41.45./
Feb 14 00:59:21 s1.xxx.nl qmail: 1266105561.330916 status: local 0/10 remote 0/20

DC^
15/02/10, 20:27
Beste DC,

Jazeker, maar het betreft mailtjes afkomstig van sendmail dus mag ik toch aannemen dat deze niet zichtbaar zijn in de maillog van Qmail? Mind me if i'm wrong :D

Voor de zekerheid toch maar even checken, want het hoeft niet van een script te komen. Maar voor sommige Php scripts word de lokale mailserver gebruikt.

Niekoesj
15/02/10, 20:34
Ik heb de /var/log/mail.info erbij gepakt (zie 2e post hierboven).

Ook zie ik aanvragen vanaf een IP (imap):

Feb 14 19:09:27 s1.xxx.nl pop3d: IMAP connect from @ [74.63.225.253]checkmailpasswd: FAILED: betsy - short names not allowed from @ [74.63.225.253]DEBUG: Connection, ip=[74.63.225.253]
Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.572792 starting delivery 13065: msg 8784455 to remote zomaareenmailadres@bellsouth.net
Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.573047 status: local 0/10 remote 1/20
Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.573241 starting delivery 13066: msg 8783903 to remote zomaareenmailadres@libertysurf.fr
Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.573401 status: local 0/10 remote 2/20
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: Handlers Filter before-remote for qmail started ...
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: Handlers Filter before-remote for qmail started ...
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: from=anonymous@s1.xxx.nl
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: to=zomaareenmailadres@bellsouth.net
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: from=anonymous@s1.xxx.nl
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: to=zomaareenmailadres@libertysurf.fr
Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.902494 delivery 13066: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.902704 status: local 0/10 remote 1/20
Feb 14 19:09:29 s1.xxx.nl pop3d: IMAP connect from @ [74.63.225.253]checkmailpasswd: FAILED: beth - short names not allowed from @ [74.63.225.253]ERR: LOGIN FAILED, ip=[74.63.225.253]
Feb 14 19:09:29 s1.xxx.nl qmail: 1266170969.467415 delivery 13065: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Feb 14 19:09:29 s1.xxx.nl qmail: 1266170969.467626 status: local 0/10 remote 0/20
Feb 14 19:09:29 s1.xxx.nl pop3d: LOGOUT, ip=[74.63.225.253]

Erg interessant te zien dat het IP afkomstig is vanuit de US... :(
Zou dat lijken op een mailaccount dat misbruikt wordt i.p.v. phpscript met sendmail? Er moet toch een makkelijker manier te vinden zijn hoe ik de verzonden mailtjes van sendmail kan traceren? :)

DC^
15/02/10, 20:40
Even heel wat anders:
Draait er een firewall en/of spamfilter op de server?

Niekoesj
15/02/10, 20:45
Er draait een firewall en spamfilter ja. Spamfilter (spamassassin).

Ik moet erbij zeggen dat het in golven gaat van 40 mailtjes per keer. Soms een halve dag niets en dan opeens weer een lading.

DC^
15/02/10, 20:52
Het lijkt erop dat de mail juist niet wordt gestuurd.
Op het moment dat de mails worden verzonden worden ze gelijk weer gefilterd.


Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.573401 status: local 0/10 remote 2/20
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: Handlers Filter before-remote for qmail started ...
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: Handlers Filter before-remote for qmail started ...
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: from=anonymous@s1.xxx.nl
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: to=zomaareenmailadres@bellsouth.net
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: from=anonymous@s1.xxx.nl
Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: to=zomaareenmailadres@libertysurf.fr

En dat Ip probeert in te loggen op de mailserver. Misschien even handmatig in de firewall gooien? Als hij niet al automatisch geblokkeerd word na zoveel keer niet goed in te loggen.

Niekoesj
15/02/10, 21:00
Het lijkt erop dat de mail juist niet wordt gestuurd.
Op het moment dat de mails worden verzonden worden ze gelijk weer gefilterd.

En dat Ip probeert in te loggen op de mailserver. Misschien even handmatig in de firewall gooien? Als hij niet al automatisch geblokkeerd word na zoveel keer niet goed in te loggen.



Ik heb het ip inderdaad geblokkeerd, kijken wat er nu van over blijft :).

Mails worden juist niet verstuurd neen? ik zag ze tevens in de que staan als ik inlog op Plesk --> Mailserver --> Wachtrij opvraag. een hele lijst vanaf mijn anonymous@xxxxx.nl naar diverse adressen. Of ze daadwerkelijk verzonden worden kan ik niet goed uit de logging halen.

Bedankt voor de tips tot zo ver! :D

ju5t
15/02/10, 21:29
Voor in de toekomst: http://choon.net/php-mail-header.php. Al moet ik zeggen dat ik niet zo bekend ben met Plesk en de manier waarop PHP wordt geïnstalleerd, maar dit kan in de toekomst erg van pas komen.

Triloxigen
15/02/10, 21:32
Heb je in de mail headers gekeken? Sommige mailscripts zetten daar de locatie van het script neer.
Kijk ook even welke requests er op je server gedaan worden, wellicht haal je daar wat uit.

transit
20/02/10, 09:52
Hier een tool die je kunt gebruiken zonder PHP opnieuw te installeren: http://www.iezzi.ch/archives/258

Je maakt hiermee een wrapper op sendmail die de mailtjes logt en vervolgens pas verstuurd. In de logs is dan te zien van welk script / domein de mail is verzonden. Wij gebruiken dergelijke wrappers op onze shared hosting diensten en heeft al vele spamscripts naar boven gebracht.