Moin, At 08:50 31.08.2001 +0200, Juergen Schwarting wrote:
Hallo Ulrich,
* Am 30.08.2001 um 20:21 Uhr schrieb Ulrich Klenk:
mich plagt da was. Seit heute Nacht verschickt ein Rechner auf dem kernel-2.2.16, sendmail 8.11.0, apache 1.3.14 ungefähr 3 bis 5 Werbe-mails pro Minute an aol-Mailempfänger (zw. 12:30 und 19:00 war Pause).
Sendmail selbst ist KEIN open-relay (getestet mit nessus, von Hand und von [...] Zudem läuft auf dem Rechner Apache, mehrere Leute haben hier diverse Seiten am Laufen, der Apache kann (und muß) auf sendmail zugreifen.
Systemdateien wurden nicht geändert.
Meine Vermutung ist eine HTML-Seite oder so etwas, dass da missbraucht wird.
Wie kann ich das genau verifizieren? Oder liege ich da in der ganz falschen Richtung...
was da genau bei Dir abgeht weiß ich so auch nicht, aber versuche doch einfach mal folgendes:
<Idee> - unterbinde die automatische Auslieferung von Mails, so daß diese zunächst in /var/spool/mqueue 'zwischengelagert' werden. - nun hast Du Möglichkeit etwas mehr über den Mailheader in Erfahrung zu bringen. Vielleicht stößt Du da schon auf einen Hinweis, wer der Übeltäter ist. - Der Abgleich von Absendezeiten mit dem Apache-Log könnte auch etwas bringen. - Im Notfall könntest Du vor der Auslieferung der Mails auch alle aol-Mailempfänger aus der Queue löschen/verschieben. </Idee>
Alle diese Punkte sind natürlich nur als schneller Workaround gedacht und sollten sobald wie möglich wieder in den Urzustand zurückgesetzt werden.
das Problem hatte ich auch vor ein paar Wochen. Der Übeltäter war das weitverbreitete formmail.pl Script. Da würde ich mal ansetzen ;). ciao