[Postfixbuch-users] Spam über www-data

Uwe Driessen driessen at fblan.de
Di Aug 4 21:04:28 CEST 2009


On Behalf Of Thomas Gelf
> Thomas Kochler schrieb:
> > Wenn es PHP sein sollte, vielleicht hilft Dir das hier:
> > http://ilia.ws/archives/149-mail-logging-for-PHP.html
> 
> Hey, das kannte ich noch nicht! Hab's mir recht euphorisch angesehen,
> bemerkt, dass es in PHP 5.3 Einzug gefunden hat - und ziemlich
> enttäuscht feststellen müssen, dass mail.add_x_header und mail.log
> "nicht ganz optimal" sind:
> 
> - add_x_header erstellt aktuell noch korrupte Header (im CVS gefixt)
> 
> - mail.log halte ich für ziemlichen Quatsch. Für's Mail-Log ist der MTA
>   zuständig! Es würde reichen wenn PHP erlauben würde, pro Web einen
>   Sender (Envelope-From) vorzugeben. Und diese Unsitte, jedes Programm
>   seine eigenen Logfiles schreiben zu lassen - ich könnt' aus der Haut
>   fahren! Kostet I/O, lässt sich schwer zentralisieren (bei vielen
>   Servern), muss eigens rotiert werden - WOZU GIBT ES DENN SYSLOG??
> 
> Mit add_x_header kann ich mich ja noch anfreunden - dass die dabei über
> deren eigene perverse "Intelligenz" in mail() bzgl der Zeilenumbrüche
> gestolpert sind freut mich fast ;-) Und der Rest: war ja schon immer so,
> in PHP werden Symptome bekämpft, man weigert sich aber strikt, Probleme
> an der Wurzel anzugehen.
> 


Warum so kompliziert?

In den Vhost folgenden Eintrag für jedes Web reinsetzen 

    php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -fnoreply at Domainname.toplevel"

und schon sieht man schnell und einfach welches Web die Mails raushaut.

In der Main.cf 

authorized_submit_users = !www-data

und kein www-data als Absender kann senden.


Für die Zukunft dann sugsesive alle Webs nur noch mit Mail-Userlogin zulassen. 

Die Erfahrung ist das kaputte Formulare immer wieder besucht und benutzt werden, die Frage
ist nicht das sondern nur wann und wie schnell die BL reagieren und man wird nichts mehr
los. 

Über PHP und MYSQL-Injection kann unter Umständen auch schon ein script in den content
eingeschleust worden sein. Es ist auf jeden Fall wichtig der Sache auf den Grund zu gehen.
Wenn so was festgestellt wird auf keinen Fall blind löschen sondern an sichere Stelle
kopieren und analysieren wer da was wie gemacht hat.

Beim ersten und letzten der eine bei mir gehostete Seite (joomlakomponente) gehackt hatte
habe ich noch 3 Monate später die Eindringversuche feststellen können. Und immer wenn er
es getestet hat ob sein versuch erfolgreich war bekam er ein 42.zip zurück*gg  


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users