[postfix-users] Spam-Versand via Localhost

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

[postfix-users] Spam-Versand via Localhost

Dominic Pratt-2
Hi Leute,

momentan habe ich einen Kunden, von dessen Server Spam versendet wird - vermutlich über den Apachen.
Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from localhost.localdomain[127.0.0.1]
Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5: client=localhost.localdomain[127.0.0.1]
Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5: message-id=[hidden email]
Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: from=[hidden email], size=1331, nrcpt=2 (queue active)
Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: to=[hidden email], relay=none, delay=0.45, delays=0.26/0.02/0.17/0, dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7: message-id=[hidden email]
Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender non-delivery notification: ABF30B10BA7
Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>, size=3206, nrcpt=1 (queue active)
Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
server17.xxx.de ist die betroffene Maschine, die einen Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.

Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich sind mit unseren Latein am Ende.

Grüße,
Dominic
-- 
"If you haven’t found it yet, keep looking. Don’t settle."

Dominic Pratt
Fachinformatiker Systemintegration

Website: http://dominicpratt.de
Twitter: http://twitter.com/servermagier
Facebook: http://facebook.com/servermagier
Xing: https://www.xing.com/profile/Dominic_Pratt

_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] Spam-Versand via Localhost

Robert Schetterer-2
Am 19.01.2013 10:57, schrieb Dominic Pratt:

> Hi Leute,
>
> momentan habe ich einen Kunden, von dessen Server Spam versendet wird -
> vermutlich über den Apachen.
>
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from
>     localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:
>     client=localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
>     message-id=<[hidden email]>
>     Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5:
>     from=<[hidden email]>, size=1331, nrcpt=2 (queue active)
>     Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5:
>     to=<[hidden email]>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0,
>     dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
>     Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7:
>     message-id=<[hidden email]>
>     Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender
>     non-delivery notification: ABF30B10BA7
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>,
>     size=3206, nrcpt=1 (queue active)
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
>
> server17.xxx.de ist die betroffene Maschine, die einen
> Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier
> zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.
>
> Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige
> Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.
>
> Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich sind
> mit unseren Latein am Ende.

wenn es ueber den apache reinkommt, muss du in dessen log suchen

zb grep simamaung /var/log/apache/access_log etc

der con von localhost muss aber nicht zwingend der apache sein dass kann
auch jeder andere prozess sein der an localhost einliefern darf



>
> Grüße,
> Dominic
>
> --
> "If you haven’t found it yet, keep looking. Don’t settle."
>
> Dominic Pratt
> Fachinformatiker Systemintegration
>
> Website: http://dominicpratt.de
> Twitter: http://twitter.com/servermagier
> Facebook: http://facebook.com/servermagier
> Xing: https://www.xing.com/profile/Dominic_Pratt
>
>
>
> _______________________________________________
> postfix-users mailing list
> [hidden email]
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] Spam-Versand via Localhost

Ralf Hildebrandt-2
In reply to this post by Dominic Pratt-2
* Dominic Pratt <[hidden email]>:
> Hi Leute,
>
> momentan habe ich einen Kunden, von dessen Server Spam versendet
> wird - vermutlich über den Apachen.
>
>    Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from localhost.localdomain[127.0.0.1]

Das könnte natürlich auch via content_filter reinkommen

>    Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:client=localhost.localdomain[127.0.0.1]
>    Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5: message-id=<[hidden email]>
>    Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: from=<[hidden email]>, size=1331, nrcpt=2 (queue active)
>    Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: to=<[hidden email]>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0, dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
>    Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
>
> server17.xxx.de ist die betroffene Maschine, die einen
> Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail
> hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Ist ja nur die Message-ID, das muss nichts heissen.
 
> Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige
> Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost
> kommen.

Du kannst nur zeitlich um "Jan 18 18:33:14" im Log gucken und nach
verdächtigen POST requests suchen.

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich

_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users