Hoe te achterhalen welk script spam verstuurt? - Privacy en beveiliging

woensdag 8 februari 2006 11:58

Acties:

Topicstarter

Hallo,

Een webserver draait verschillende virtual domeinen, waarbij gebruikers vrij toegang hebben tot hun eigen map. Via de webserver wordt spam verstuurd. Regelmatig vinden er spamruns plaats van 3-4000 uitgaande e-mails die gebruik maken van een mailformulier.

Deze mail wordt verstuurd via het Apache-proces, met als afzender www-data@webserver.
Aangezien de domeinnaam van deze webserver niet volledig staat ingesteld (dus niet eindigend op .nl of een andere extensie), worden alle mails door alle mailservers niet doorgestuurd, dus op zich komt de spam niet aan.

Maar, ik wil natuurlijk graag achterhalen welke van mijn gebruikers verantwoordelijk is voor de spam. Waarschijnlijk gaat het onbewust om een verkeerd ingesteld php-formulier.
Elk domein heeft eigen logfiles en het lijkt erop dat de betreffende pagina bij het verzenden niet zo vaak gehit wordt dat het extreem opvalt in de logfiles; alle domeinen worden vrij druk bezocht en de grootte van de spamruns lijkt daardoor beperkt.

Kent iemand een goede manier om te achterhalen welk bestand op de server verantwoordelijk is?

Bij voorbaat dank.

woensdag 8 februari 2006 12:31

Acties:

Verwijderd

Door welk programma worden de mailtjes opgehaald? gewoon outlook?

Kun je niet de mailheader lezen of hier plaatsen?

Ik ken wel wat van mail maar ben iets specifieker.

woensdag 8 februari 2006 14:08

Acties:

tiezeman

Topicstarter

Hallo,

Het maakt niet uit of de mailtjes uiteindelijk met Outlook of iets anders worden opgehaald, het gaat er vooral om hoe ze verstuurd worden.

Een deel van de header;

code:

Received: from www-data by webserver with local (Exim 3.36 #1 (Debian))
    id 1F65br-0007R4-00
    for <example@example.com>; Mon, 06 Feb 2006 13:36:47 +0100
To: sexample@example.com
Subject:  Franklin Bank -  Consumer Notice
From: customercare@bankfranklin.com <customercare@bankfranklin.com>
Content-Type: text/html
Message-Id: <E1F65br-0007R4-00@webserver>
Sender: www-data <www-data@webserver >
Date: Mon, 06 Feb 2006 13:36:47 +0100

woensdag 8 februari 2006 14:12

Acties:

pasta

Ondertitel

Ik zou me sowieso eigenlijk eerst afvragen hoe het kan komen dat je webserver überhaupt spam staat te versturen. Er lijkt me dan namelijk nogal een lek in je software te zitten, en het is verstandig om dat dan ook zo snel mogelijk te gaan fixen.

Signature

woensdag 8 februari 2006 14:14

Acties:

HunterPro

pasta schreef op woensdag 08 februari 2006 @ 14:12:
Ik zou me sowieso eigenlijk eerst afvragen hoe het kan komen dat je webserver überhaupt spam staat te versturen. Er lijkt me dan namelijk nogal een lek in je software te zitten, en het is verstandig om dat dan ook zo snel mogelijk te gaan fixen.

waarom denk je dat ie wil weten welk script er verantwoordelijk voor is?

Ik zou cpu-usage van php in de gaten houden en die somehow aan de accesslogs proberen te koppelen. Hopen dat dat wat teruggeeft

[ Voor 14% gewijzigd door HunterPro op 08-02-2006 14:15 ]

woensdag 8 februari 2006 14:18

Acties:

Mr_Dark

Gotta catch 'em all

Heb je misschien je mail server ingesteld zodat je geen username en/of password nodig hebt voor SMTP?

Als dit zo is kan natuurlijk iedereen mails/spam versturen via jouw server dit hoeft dan niet direct van iemand te zijn die bij jouw zijn/haar website host.

woensdag 8 februari 2006 14:21

Acties:

The Noid

Als het een form is dat slecht is beveiligd betekent dat de data in de mails of via een get of via een post binnen komt.
Als het een GET is staat de data gewoon in de url, dus kan je je logfiles doorgreppen op een stukje van die data ("bankfranklin" ofzo)

Als het een POST is is dat iets lastiger, maar je weet de exacte tijd van de spamaanval (die staat in de mails namelijk) en als je dan alle POST regels uit je weblogs filtert moet je het wel kunnen vinden.

Je kan ook een recursieve grep doen door alle php scripts van gebruikers en kijken welke scripts de mail functie gebruiken. Da's wel wat minder betrouwbaar.

This must be that Woodstock place mom and dad are allways talking about

woensdag 8 februari 2006 14:26

Acties:

tiezeman

Topicstarter

waarom denk je dat ie wil weten welk script er verantwoordelijk voor is?

Dat is inderdaad het grote idee ja

Maar uit mijn logfiles kan ik het helaas dus niet herleiden, daarom hoopte ik op een andere oplossing.

Heb je misschien je mail server ingesteld zodat je geen username en/of password nodig hebt voor SMTP?

De server verstuurt via de eigen machine. De mailserver is niet als externe SMTP ingesteld, maar lokale processen kunnen wel mail versturen.
Als ik de server test op http://www.abuse.net/relay.html komt er direct "Could not connect, test failed."

woensdag 19 juli 2006 01:24

Acties:

Verwijderd

Ik heb precies hetzlefde probleem op een server. apache, php, sendmail en het verstuurd spam vrijwel zeker vanuit apache. Het ligt voor de hand dat er ergens een lek formulier is, maar waar??? In de logs valt geen van de scripts bijzonder op. De tijd waarop malingen beginnen is lastig te achter halen, en bovendien logt apache volgens mij als de pagina verstuurd wordt (dus het script klaar is). Da's niet 123 te koppelen aan de start van mailings...

greppen op (fragmenten) van de mails in de logfiles levert ook niets op. Mogelijk omdat het geheel mbv POSTs gestart wordt....

goede ideeen zijn welkom!

donderdag 19 juli 2007 18:45

Acties:

Flaterik

Hier het zelfde probleem... Regelmatig 4000 tot 10.000 mails op de server via PHP. Iemand met goede tips..?

Sorry voor de schop

Digital Nomad, frequent flyer en minimalist...https://erikvandermeulen.nl

donderdag 19 juli 2007 18:50

Acties:

TeeDee

CQB 241

- Heb je meerdere domeinen?
- Heb je een contactformulier script? Zo ja, kijk eens naar MIME-injection.

Heart..pumps blood.Has nothing to do with emotion! Bored