Hallo Liste, mich plagt da was. Seit heute Nacht verschickt ein Rechner auf dem kernel-2.2.16, sendmail 8.11.0, apache 1.3.14 ungefähr 3 bis 5 Werbe-mails pro Minute an aol-Mailempfänger (zw. 12:30 und 19:00 war Pause). Sendmail selbst ist KEIN open-relay (getestet mit nessus, von Hand und von Paladin Corp.) Hier ein AUszug aus dem maillog (Namen ausgetauscht, ebenfalls die namen@aol.com) --- Aug 30 20:10:20 host1 sendmail[1482]: NOQUEUE: gate.domain.de [xxx.xxx.xxx.xxx] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA Aug 30 20:10:39 host1 sendmail[1484]: f7UIAdY01484: from=apache, size=867, class=0, nrcpts=4, msgid=<200108301810.f7UIAdY01484@host1.domain.de>, relay=apache@localhost Aug 30 20:10:41 host1 sendmail[1486]: f7UIAdY01484: to=v1@aol.com,v2@aol.com,v3@aol.com,v4@aol.com, ctladdr=apache (48/48), delay=00:00:02, xdelay=00:00:02, mailer=esmtp, pri=120867, relay=mailin-01.mx.aol.com. [205.188.157.25], dsn=2.0.0, stat=Sent (OK) --- Zudem läuft auf dem Rechner Apache, mehrere Leute haben hier diverse Seiten am Laufen, der Apache kann (und muß) auf sendmail zugreifen. Systemdateien wurden nicht geändert. Meine Vermutung ist eine HTML-Seite oder so etwas, dass da missbraucht wird. Wie kann ich das genau verifizieren? Oder liege ich da in der ganz falschen Richtung... Danke für Unterstützung, Uli -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
Hallo Ulrich, * Am 30.08.2001 um 20:21 Uhr schrieb Ulrich Klenk:
mich plagt da was. Seit heute Nacht verschickt ein Rechner auf dem kernel-2.2.16, sendmail 8.11.0, apache 1.3.14 ungefähr 3 bis 5 Werbe-mails pro Minute an aol-Mailempfänger (zw. 12:30 und 19:00 war Pause).
Sendmail selbst ist KEIN open-relay (getestet mit nessus, von Hand und von [...] Zudem läuft auf dem Rechner Apache, mehrere Leute haben hier diverse Seiten am Laufen, der Apache kann (und muß) auf sendmail zugreifen.
Systemdateien wurden nicht geändert.
Meine Vermutung ist eine HTML-Seite oder so etwas, dass da missbraucht wird.
Wie kann ich das genau verifizieren? Oder liege ich da in der ganz falschen Richtung...
was da genau bei Dir abgeht weiß ich so auch nicht, aber versuche doch einfach mal folgendes: <Idee> - unterbinde die automatische Auslieferung von Mails, so daß diese zunächst in /var/spool/mqueue 'zwischengelagert' werden. - nun hast Du Möglichkeit etwas mehr über den Mailheader in Erfahrung zu bringen. Vielleicht stößt Du da schon auf einen Hinweis, wer der Übeltäter ist. - Der Abgleich von Absendezeiten mit dem Apache-Log könnte auch etwas bringen. - Im Notfall könntest Du vor der Auslieferung der Mails auch alle aol-Mailempfänger aus der Queue löschen/verschieben. </Idee> Alle diese Punkte sind natürlich nur als schneller Workaround gedacht und sollten sobald wie möglich wieder in den Urzustand zurückgesetzt werden. Jürgen -- Glücklich sind die Benutzer, die nichts erwarten. Sie werden nicht enttäuscht. / Registered Linux-User #130804 http://counter.li.org \ \ Linux Stammtisch Bremerhaven http://linux.hs-bremerhaven.de /
Moin, At 08:50 31.08.2001 +0200, Juergen Schwarting wrote:
Hallo Ulrich,
* Am 30.08.2001 um 20:21 Uhr schrieb Ulrich Klenk:
mich plagt da was. Seit heute Nacht verschickt ein Rechner auf dem kernel-2.2.16, sendmail 8.11.0, apache 1.3.14 ungefähr 3 bis 5 Werbe-mails pro Minute an aol-Mailempfänger (zw. 12:30 und 19:00 war Pause).
Sendmail selbst ist KEIN open-relay (getestet mit nessus, von Hand und von [...] Zudem läuft auf dem Rechner Apache, mehrere Leute haben hier diverse Seiten am Laufen, der Apache kann (und muß) auf sendmail zugreifen.
Systemdateien wurden nicht geändert.
Meine Vermutung ist eine HTML-Seite oder so etwas, dass da missbraucht wird.
Wie kann ich das genau verifizieren? Oder liege ich da in der ganz falschen Richtung...
was da genau bei Dir abgeht weiß ich so auch nicht, aber versuche doch einfach mal folgendes:
<Idee> - unterbinde die automatische Auslieferung von Mails, so daß diese zunächst in /var/spool/mqueue 'zwischengelagert' werden. - nun hast Du Möglichkeit etwas mehr über den Mailheader in Erfahrung zu bringen. Vielleicht stößt Du da schon auf einen Hinweis, wer der Übeltäter ist. - Der Abgleich von Absendezeiten mit dem Apache-Log könnte auch etwas bringen. - Im Notfall könntest Du vor der Auslieferung der Mails auch alle aol-Mailempfänger aus der Queue löschen/verschieben. </Idee>
Alle diese Punkte sind natürlich nur als schneller Workaround gedacht und sollten sobald wie möglich wieder in den Urzustand zurückgesetzt werden.
das Problem hatte ich auch vor ein paar Wochen. Der Übeltäter war das weitverbreitete formmail.pl Script. Da würde ich mal ansetzen ;). ciao
participants (3)
-
Juergen Schwarting -
Matthias Strack -
Ulrich Klenk