WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Internet (http://www.wcm.at/forum/forumdisplay.php?f=8)
-   -   CBL-Spamlist Problem (http://www.wcm.at/forum/showthread.php?t=205420)

nertx 11.12.2006 13:03
CBL-Spamlist Problem
 
hallo,

ich bin (zum zweiten mal) auf der CBL-Spamlist gelandet :(

möchte mich nicht delisten lassen bevor ich nicht weiß was der Grund ist...

Und genau da bräucht ich eure Hilfe:
ich hab einen Webserver der das Problem sein dürfte! Auf dem läuft Apache 2.x.x, PHP 5.x.x, MySQL 5.x.x - Als Web läuft ein PHPBB Plus Forum

PHP und Apache laufen mit Standard-Konfig - ich hab lediglich virtualhosts im apache definiert (funken auch)

als ich das erste mal gelistet wurde war meine vermutung dass mein apache ein open proxy is weil ich folgendes im apache-log drin:

59.117.187.151 - - [02/Dec/2006:05:06:49 +0100] "CONNECT ms81.hinet.net:25 HTTP/1.0" 405 315 "-" "-"
82.161.26.100 - - [02/Dec/2006:16:19:20 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 405 315 "-" "-"
82.161.26.100 - - [02/Dec/2006:16:28:12 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 405 315 "-" "-"
82.161.26.100 - - [02/Dec/2006:22:16:49 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 405 315 "-" "-"
usw....

hab dann im apache alle proxy-module deaktiviert und apache neugestartet! trotzdem find ich jetz wieder solche einträge im log :(

hat jemand eine idee wie ich mein system absichern kann? wäre wichtig! bin für jeden tipp dankbar!

lg,
nertx

m@rio 11.12.2006 14:30
Re: CBL-Spamlist Problem
 
Ich würde mal als erstes das Mail Log auf auffällige Einträge prüfen.
Die phpBB Installation ist aktuell? Alle Security Updates installiert?

Sloter 11.12.2006 15:11
grep include /var/log/apache/access.log

Schau mal auf auffällige Einträge.
Meistens werden Formulare "includet" die dann den Spam verschicken.

Kann auch nicht schaden :-)
ls -al /tmp und achten auf Dateien die mit "." anfangen.


Sloter

ps: ganz vergessen, queue vom SMTP leeren.

nertx 11.12.2006 18:52
im apache log seh ich nix auffälliges...

im /tmp hab ich:

.ICE-Unix
mc-root


was is mc-root?

Sloter 13.12.2006 08:54
vi mc.root
Wird wahrscheinlich ein Perlscript sein, das die Mails verschickt :-)

Schaud dir die Logs (access.log) nocheinmal an, imho wird über eine schwachstelle dir das Kukusei reingelegt.

Typo3, Joomla, VBBuletin usw.. installiert?

Kontrolliere auch noch /var/tmp

Sloter

Netdragon 13.12.2006 09:49
Hallo erstmal !

"mc-root" ..MC -> Midnight Comander möglicherweise instaliert ?

..ist ein ssh tool , kannste testen wenst dich mit ssh als root einlogs und "mc" eingibst, sagt er, er kann damit nix anfangen ist nicht der midnight comander.

Insgesammt würd ich auch eher drauf tippen das du eine offene mail from drinnen hast !


Alle Zeitangaben in WEZ +2. Es ist jetzt 09:38 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag