CBL-Spamlist Problem

nertx · 11.12.2006, 12:03

hallo,

ich bin (zum zweiten mal) auf der CBL-Spamlist gelandet

möchte mich nicht delisten lassen bevor ich nicht weiß was der Grund ist...

Und genau da bräucht ich eure Hilfe:
ich hab einen Webserver der das Problem sein dürfte! Auf dem läuft Apache 2.x.x, PHP 5.x.x, MySQL 5.x.x - Als Web läuft ein PHPBB Plus Forum

PHP und Apache laufen mit Standard-Konfig - ich hab lediglich virtualhosts im apache definiert (funken auch)

als ich das erste mal gelistet wurde war meine vermutung dass mein apache ein open proxy is weil ich folgendes im apache-log drin:

59.117.187.151 - - [02/Dec/2006:05:06:49 +0100] "CONNECT ms81.hinet.net:25 HTTP/1.0" 405 315 "-" "-"
82.161.26.100 - - [02/Dec/2006:16:19:20 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 405 315 "-" "-"
82.161.26.100 - - [02/Dec/2006:16:28:12 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 405 315 "-" "-"
82.161.26.100 - - [02/Dec/2006:22:16:49 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 405 315 "-" "-"
usw....

hab dann im apache alle proxy-module deaktiviert und apache neugestartet! trotzdem find ich jetz wieder solche einträge im log

hat jemand eine idee wie ich mein system absichern kann? wäre wichtig! bin für jeden tipp dankbar!

lg,
nertx

m@rio · 11.12.2006, 13:30

Ich würde mal als erstes das Mail Log auf auffällige Einträge prüfen.
Die phpBB Installation ist aktuell? Alle Security Updates installiert?

Sloter · 11.12.2006, 14:11

grep include /var/log/apache/access.log

Schau mal auf auffällige Einträge.
Meistens werden Formulare "includet" die dann den Spam verschicken.

Kann auch nicht schaden

ls -al /tmp und achten auf Dateien die mit "." anfangen.

Sloter

ps: ganz vergessen, queue vom SMTP leeren.

nertx · 11.12.2006, 17:52

im apache log seh ich nix auffälliges...

im /tmp hab ich:

.ICE-Unix
mc-root

was is mc-root?

Sloter · 13.12.2006, 07:54

vi mc.root
Wird wahrscheinlich ein Perlscript sein, das die Mails verschickt

Schaud dir die Logs (access.log) nocheinmal an, imho wird über eine schwachstelle dir das Kukusei reingelegt.

Typo3, Joomla, VBBuletin usw.. installiert?

Kontrolliere auch noch /var/tmp

Sloter

Netdragon · 13.12.2006, 08:49

Hallo erstmal !

"mc-root" ..MC -> Midnight Comander möglicherweise instaliert ?

..ist ein ssh tool , kannste testen wenst dich mit ssh als root einlogs und "mc" eingibst, sagt er, er kann damit nix anfangen ist nicht der midnight comander.

Insgesammt würd ich auch eher drauf tippen das du eine offene mail from drinnen hast !

11.12.2006, 12:03	#1
nertx Veteran Registriert seit: 03.01.2002 Beiträge: 211	CBL-Spamlist Problem hallo, ich bin (zum zweiten mal) auf der CBL-Spamlist gelandet möchte mich nicht delisten lassen bevor ich nicht weiß was der Grund ist... Und genau da bräucht ich eure Hilfe: ich hab einen Webserver der das Problem sein dürfte! Auf dem läuft Apache 2.x.x, PHP 5.x.x, MySQL 5.x.x - Als Web läuft ein PHPBB Plus Forum PHP und Apache laufen mit Standard-Konfig - ich hab lediglich virtualhosts im apache definiert (funken auch) als ich das erste mal gelistet wurde war meine vermutung dass mein apache ein open proxy is weil ich folgendes im apache-log drin: 59.117.187.151 - - [02/Dec/2006:05:06:49 +0100] "CONNECT ms81.hinet.net:25 HTTP/1.0" 405 315 "-" "-" 82.161.26.100 - - [02/Dec/2006:16:19:20 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 405 315 "-" "-" 82.161.26.100 - - [02/Dec/2006:16:28:12 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 405 315 "-" "-" 82.161.26.100 - - [02/Dec/2006:22:16:49 +0100] "CONNECT 205.231.29.241:25 HTTP/1.0" 405 315 "-" "-" usw.... hab dann im apache alle proxy-module deaktiviert und apache neugestartet! trotzdem find ich jetz wieder solche einträge im log hat jemand eine idee wie ich mein system absichern kann? wäre wichtig! bin für jeden tipp dankbar! lg, nertx

11.12.2006, 13:30	#2
m@rio Master Registriert seit: 10.10.2002 Beiträge: 711	Re: CBL-Spamlist Problem Ich würde mal als erstes das Mail Log auf auffällige Einträge prüfen. Die phpBB Installation ist aktuell? Alle Security Updates installiert?

13.12.2006, 08:49	#6
Netdragon Jr. Member Registriert seit: 15.12.2001 Alter: 53 Beiträge: 78	Hallo erstmal ! "mc-root" ..MC -> Midnight Comander möglicherweise instaliert ? ..ist ein ssh tool , kannste testen wenst dich mit ssh als root einlogs und "mc" eingibst, sagt er, er kann damit nix anfangen ist nicht der midnight comander. Insgesammt würd ich auch eher drauf tippen das du eine offene mail from drinnen hast ! ____________________________________ Regards netdragon --> Hirn voller ideen, aber zu dumm zum tippen )

11.12.2006, 14:11	#3
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	grep include /var/log/apache/access.log Schau mal auf auffällige Einträge. Meistens werden Formulare "includet" die dann den Spam verschicken. Kann auch nicht schaden ls -al /tmp und achten auf Dateien die mit "." anfangen. Sloter ps: ganz vergessen, queue vom SMTP leeren.

11.12.2006, 17:52	#4
nertx Veteran Registriert seit: 03.01.2002 Beiträge: 211	im apache log seh ich nix auffälliges... im /tmp hab ich: .ICE-Unix mc-root was is mc-root?

13.12.2006, 07:54	#5
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	vi mc.root Wird wahrscheinlich ein Perlscript sein, das die Mails verschickt Schaud dir die Logs (access.log) nocheinmal an, imho wird über eine schwachstelle dir das Kukusei reingelegt. Typo3, Joomla, VBBuletin usw.. installiert? Kontrolliere auch noch /var/tmp Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)