[Postfixbuch-users] Spamversender
Holm Kapschitzki
holm at x-provi.de
Mo Nov 16 13:34:37 CET 2009
Ich habe bis jetzt nur oberflächig geschaut, vermuite aber ein
Sicherheitslücke in WP und da über eine Extension. Leider ist alles
nicht so klar ersichtlich wie sonst. Vielleicht wurden die Prozesse auch
über remote gestartet. Ich konnte jedenfalls anhand der Zeitstempel des
Webserveraccesslogs und dem mail.log bis jetzt noch nichts finden.
Jedenfalls habe ich die Prozesse des Users gekillt und dem Webserver das
Recht .pl Scripte unter dem User auszuführen entzogen. Seitedem ist Ruhe.
Jetzt werde ich mich an die weitere Absicherung machen, bzw. den Server
ev. neu aufsetzen. leider geht das alles nicht so schnell.
Holm
Uwe Driessen schrieb:
> On Behalf Of Holm Kapschitzki
>> Ich habe mit losof und strace perlscripte gefunden, die Mails versenden
>> unter einem bestimmten Benutzer. Allerdings sind diese .pl Scripte nicht
>> im Kundenaccount selbst, sondern, werden mit ps aux als user ./dfsdds.pl
>> angezeigt. Finden tue ich diese aber nicht auf dem server. Ich habe
>> dennoch den erstmal deaktiviert, so daß wenigstens der Versand aufhört.
>>
>> Kann man irgendwie verbieten, über perl Mails zu senden?
>>
>
> Hast du mal deine Webpräsenzen geprüft?
> Irgendwelche Forensoftware oder joomla Zusätze die ein Sicherheitsleck haben?
> Irgendwelche FTP zugänge mit unsicheren PW?
>
> Schau mal nach dem Datum der Datei und ob du in den Logs zu dem Zeitpunkt was findest das
> auffällig wäre.
>
> Mit freundlichen Grüßen
>
> Drießen
>
Mehr Informationen über die Mailingliste Postfixbuch-users