PDA

Bekijk Volledige Versie : Spam uitbraak



CharlieRoot
04/05/06, 14:16
Op dit moment hebben we vna een van onze servers klachten gekregen wat betreft spam. Na controle blijkt per minuut zo'n 300 berichten te worden aangeboden bij onze server.

Ik zie via Cpanel de Exim Mail Queue steeds groeien (met dus zo'n 300 per minuut) en via de maillog zie ik veel spamcop meldingen, veel komt niet door. Ik kan echter nergens terughalen of het via een contact formulier komt of via bijvoorbeeld een gehackte SMTP server.

Tail op fw.log krijg ik enorm aantal SMTP verbindingen op, ik wil niet de verkeerde afsluiten natuurlijk

iemand tips?

dreamhost_nl
05/05/06, 00:35
-Draait er phpsuexec op de server?
-Laten "ps aux"/"top" geen script zien dat veel resources inneemt?

DiedX
05/05/06, 01:03
ls -la /tmp
ls -la /var/tmp

Ben van Stavere
05/05/06, 01:36
mount -o remount,noexec /tmp

Om maar effe bij de handige commands te blijven...

Dillard
05/05/06, 02:10
Aangezien je aangeeft dat het een Cpanel-server betreft: kijk eens in je mailqueue (via WHM) (daar kun je ook de inhoud van de berichten bekijken), dan heb je snel genoeg door waar je het moet zoeken :)

crazycoder
05/05/06, 02:16
http://choon.net/php-mail-header.php

Geen idee hoe het met het CP of choice werkt.. Linkje kwam via een security lijst in mijn mailbox :-)


Aangezien je aangeeft dat het een Cpanel-server betreft: kijk eens in je mailqueue (via WHM) (daar kun je ook de inhoud van de berichten bekijken), dan heb je snel genoeg door waar je het moet zoeken :)
Dat kan meestal ook met iets als cat/vi/vim/pico..

Dillard
05/05/06, 02:38
Dat kan meestal ook met iets als cat/vi/vim/pico..

Uiteraard :) Maar als het om veel mails gaat, krijg je in de WHM-interface een overzicht met geadresseerde c.q. afzender, dat zoekt sneller naar de schuldige dan handmatig je directories af te struinen.

CharlieRoot
05/05/06, 10:43
was een flink gedoe maar ben er uit.. in de headers van de email stond nobody dus ik ben verder gaan zoeken bij scripts e.d.

Via de exim mainlog (extended logfile) kwamen ineens paden en files tevoorschijn die nergens anders stonden (zelfs de headers waren helemaal compleet en correct!) en heb ik het script kunnen afsluiten.

Kun je nagaan.. bijna 300 mails per seconde(!)

Ongelovelijk..