Likes Likes:  0
Resultaten 1 tot 13 van de 13
  1. #1
    PHPscript verstuurd spam
    Vet !
    66 Berichten
    Ingeschreven
    13/11/06

    Locatie
    nvt

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter

    PHPscript verstuurd spam

    Beste WHT'ers,

    Sinds vorige week loopt de wachtrij van m'n mail/webserver vol met berichten die nog verstuurd moeten worden. Mijn grootste angst is werkelijkheid geworden en ik vrees dat een php-script sendmail misbruikt.

    Nu is mijn vraag, hoe kom ik erachter welk php-script deze rotzooi (ja zo mag je het wel noemen) verstuurd. De server bevat zo'n 30 domeinen en heb al een beetje lopen zoeken in diverse logfiles maar niets kunnen opmaken.

    Heeft iemand hier ervaring mee? of enige hint in de goede richting voor me?
    Uiteraard is open-relay dichtgezet.
    De specificaties: openSUSE 10.3 inkl. Plesk 8.6.

    Bedankt voor het lezen

  2. #2
    PHPscript verstuurd spam
    Registered User
    474 Berichten
    Ingeschreven
    01/12/08

    Locatie
    Zuid - Holland

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Nee
    KvK nummer: Nvt
    Ondernemingsnummer: Nvt

    Heb je al in de logs van de mailserver gekeken?



  3. #3
    PHPscript verstuurd spam
    Vet !
    66 Berichten
    Ingeschreven
    13/11/06

    Locatie
    nvt

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Beste DC,

    Jazeker, maar het betreft mailtjes afkomstig van sendmail dus mag ik toch aannemen dat deze niet zichtbaar zijn in de maillog van Qmail? Mind me if i'm wrong

  4. #4
    PHPscript verstuurd spam
    Vet !
    66 Berichten
    Ingeschreven
    13/11/06

    Locatie
    nvt

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Stukje logging waar mailtjes worden verzonden naar vreemde adressen:
    van anonymous@s1.xxx.nl naar zomaar diverse adressen (waar s1.xxx.nl mijn server is).

    Feb 14 00:57:48 s1.xxx.nl qmail: 1266105468.040690 status: local 0/10 remote 0/20
    Feb 14 00:59:21 s1.xxx.nl qmail: 1266105561.073078 starting delivery 12106: msg 8785337 to remote zomaareenmailadres@o2.pl
    Feb 14 00:59:21 s1.xxx.nl qmail: 1266105561.073240 status: local 0/10 remote 1/20
    Feb 14 00:59:21 s1.xxx.nl qmail-remote-handlers[9299]: Handlers Filter before-remote for qmail started ...
    Feb 14 00:59:21 s1.xxx.nl qmail-remote-handlers[9299]: from=anonymous@s1.xxx.nl
    Feb 14 00:59:21 s1.xxx.nl qmail-remote-handlers[9299]: to=zomaarmailadres@o2.pl
    Feb 14 00:59:21 s1.xxx.nl qmail: 1266105561.330827 delivery 12106: deferral: 193.17.41.45_does_not_like_recipient./Remote_host_said:_450_Please_try_later/Giving_up_on_193.17.41.45./
    Feb 14 00:59:21 s1.xxx.nl qmail: 1266105561.330916 status: local 0/10 remote 0/20

  5. #5
    PHPscript verstuurd spam
    Registered User
    474 Berichten
    Ingeschreven
    01/12/08

    Locatie
    Zuid - Holland

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Nee
    KvK nummer: Nvt
    Ondernemingsnummer: Nvt

    Citaat Oorspronkelijk geplaatst door Niekoesj Bekijk Berichten
    Beste DC,

    Jazeker, maar het betreft mailtjes afkomstig van sendmail dus mag ik toch aannemen dat deze niet zichtbaar zijn in de maillog van Qmail? Mind me if i'm wrong
    Voor de zekerheid toch maar even checken, want het hoeft niet van een script te komen. Maar voor sommige Php scripts word de lokale mailserver gebruikt.

  6. #6
    PHPscript verstuurd spam
    Vet !
    66 Berichten
    Ingeschreven
    13/11/06

    Locatie
    nvt

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Ik heb de /var/log/mail.info erbij gepakt (zie 2e post hierboven).

    Ook zie ik aanvragen vanaf een IP (imap):

    Feb 14 19:09:27 s1.xxx.nl pop3d: IMAP connect from @ [74.63.225.253]checkmailpasswd: FAILED: betsy - short names not allowed from @ [74.63.225.253]DEBUG: Connection, ip=[74.63.225.253]
    Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.572792 starting delivery 13065: msg 8784455 to remote zomaareenmailadres@bellsouth.net
    Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.573047 status: local 0/10 remote 1/20
    Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.573241 starting delivery 13066: msg 8783903 to remote zomaareenmailadres@libertysurf.fr
    Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.573401 status: local 0/10 remote 2/20
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: Handlers Filter before-remote for qmail started ...
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: Handlers Filter before-remote for qmail started ...
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: from=anonymous@s1.xxx.nl
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: to=zomaareenmailadres@bellsouth.net
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: from=anonymous@s1.xxx.nl
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: to=zomaareenmailadres@libertysurf.fr
    Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.902494 delivery 13066: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
    Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.902704 status: local 0/10 remote 1/20
    Feb 14 19:09:29 s1.xxx.nl pop3d: IMAP connect from @ [74.63.225.253]checkmailpasswd: FAILED: beth - short names not allowed from @ [74.63.225.253]ERR: LOGIN FAILED, ip=[74.63.225.253]
    Feb 14 19:09:29 s1.xxx.nl qmail: 1266170969.467415 delivery 13065: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
    Feb 14 19:09:29 s1.xxx.nl qmail: 1266170969.467626 status: local 0/10 remote 0/20
    Feb 14 19:09:29 s1.xxx.nl pop3d: LOGOUT, ip=[74.63.225.253]

    Erg interessant te zien dat het IP afkomstig is vanuit de US...
    Zou dat lijken op een mailaccount dat misbruikt wordt i.p.v. phpscript met sendmail? Er moet toch een makkelijker manier te vinden zijn hoe ik de verzonden mailtjes van sendmail kan traceren?

  7. #7
    PHPscript verstuurd spam
    Registered User
    474 Berichten
    Ingeschreven
    01/12/08

    Locatie
    Zuid - Holland

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Nee
    KvK nummer: Nvt
    Ondernemingsnummer: Nvt

    Even heel wat anders:
    Draait er een firewall en/of spamfilter op de server?
    Laatst gewijzigd door DC^; 15/02/10 om 20:45. Reden: Verandering.

  8. #8
    PHPscript verstuurd spam
    Vet !
    66 Berichten
    Ingeschreven
    13/11/06

    Locatie
    nvt

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Er draait een firewall en spamfilter ja. Spamfilter (spamassassin).

    Ik moet erbij zeggen dat het in golven gaat van 40 mailtjes per keer. Soms een halve dag niets en dan opeens weer een lading.

  9. #9
    PHPscript verstuurd spam
    Registered User
    474 Berichten
    Ingeschreven
    01/12/08

    Locatie
    Zuid - Holland

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Nee
    KvK nummer: Nvt
    Ondernemingsnummer: Nvt

    Het lijkt erop dat de mail juist niet wordt gestuurd.
    Op het moment dat de mails worden verzonden worden ze gelijk weer gefilterd.

    Code:
    Feb 14 19:09:28 s1.xxx.nl qmail: 1266170968.573401 status: local 0/10 remote 2/20
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: Handlers Filter before-remote for qmail started ...
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: Handlers Filter before-remote for qmail started ...
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: from=anonymous@s1.xxx.nl
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11858]: to=zomaareenmailadres@bellsouth.net
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: from=anonymous@s1.xxx.nl
    Feb 14 19:09:28 s1.xxx.nl qmail-remote-handlers[11859]: to=zomaareenmailadres@libertysurf.fr
    En dat Ip probeert in te loggen op de mailserver. Misschien even handmatig in de firewall gooien? Als hij niet al automatisch geblokkeerd word na zoveel keer niet goed in te loggen.

  10. #10
    PHPscript verstuurd spam
    Vet !
    66 Berichten
    Ingeschreven
    13/11/06

    Locatie
    nvt

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door DC^ Bekijk Berichten
    Het lijkt erop dat de mail juist niet wordt gestuurd.
    Op het moment dat de mails worden verzonden worden ze gelijk weer gefilterd.

    En dat Ip probeert in te loggen op de mailserver. Misschien even handmatig in de firewall gooien? Als hij niet al automatisch geblokkeerd word na zoveel keer niet goed in te loggen.


    Ik heb het ip inderdaad geblokkeerd, kijken wat er nu van over blijft .

    Mails worden juist niet verstuurd neen? ik zag ze tevens in de que staan als ik inlog op Plesk --> Mailserver --> Wachtrij opvraag. een hele lijst vanaf mijn anonymous@xxxxx.nl naar diverse adressen. Of ze daadwerkelijk verzonden worden kan ik niet goed uit de logging halen.

    Bedankt voor de tips tot zo ver!

  11. #11
    PHPscript verstuurd spam
    Professional
    3.115 Berichten
    Ingeschreven
    05/02/05

    Locatie
    Alkmaar

    Post Thanks / Like
    Mentioned
    7 Post(s)
    Tagged
    0 Thread(s)
    101 Berichten zijn liked


    Naam: Thomas
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 76706966

    Voor in de toekomst: http://choon.net/php-mail-header.php. Al moet ik zeggen dat ik niet zo bekend ben met Plesk en de manier waarop PHP wordt geïnstalleerd, maar dit kan in de toekomst erg van pas komen.

  12. #12
    PHPscript verstuurd spam
    Meneer de Directeur
    12.253 Berichten
    Ingeschreven
    11/05/04

    Locatie
    Valkenswaard / Eindhoven

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    6 Berichten zijn liked


    Registrar SIDN: ja
    KvK nummer: 17186890

    Heb je in de mail headers gekeken? Sommige mailscripts zetten daar de locatie van het script neer.
    Kijk ook even welke requests er op je server gedaan worden, wellicht haal je daar wat uit.

  13. #13
    PHPscript verstuurd spam
    geregistreerd gebruiker
    9 Berichten
    Ingeschreven
    11/10/06

    Locatie
    Heerlen

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: ja
    KvK nummer: 14055949
    Ondernemingsnummer: nvt

    Hier een tool die je kunt gebruiken zonder PHP opnieuw te installeren: http://www.iezzi.ch/archives/258

    Je maakt hiermee een wrapper op sendmail die de mailtjes logt en vervolgens pas verstuurd. In de logs is dan te zien van welk script / domein de mail is verzonden. Wij gebruiken dergelijke wrappers op onze shared hosting diensten en heeft al vele spamscripts naar boven gebracht.

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics