# Server versendet vermutlich SPAM



## cokotech (8. Sep. 2014)

Hi Ihr,

ich bin's mal wieder.
Augenscheinlich versendet eine meiner virtuellen Machinen Spam (gelistet in CBL) und ich komm nicht dahinter.
Sowas wie das sendmail logging habe ich schon probiert - ohne Erfolg.
Vielleicht hat jemand von euch eine Idee.

lsof -i bringt bei mir folgende (seltsame) Ausgabe.


```
master    15415      root   12u  IPv4  124988190      0t0  TCP *:smtp (LISTEN)
master    15415      root   13u  IPv6  124988191      0t0  TCP *:smtp (LISTEN)
apache2   20337  www-data   47u  IPv4 1857718680      0t0  TCP vserver1.xxx.de:46462->nombler.gtisc.gatech.edu:smtp (ESTABLISHED)
smtpd     22153   postfix    6u  IPv4  124988190      0t0  TCP *:smtp (LISTEN)
smtpd     22153   postfix    7u  IPv6  124988191      0t0  TCP *:smtp (LISTEN)
apache2   24969  www-data   47u  IPv4 1857425397      0t0  TCP vserver1.xxx.de:46048->nombler.gtisc.gatech.edu:smtp (ESTABLISHED)
apache2   25005  www-data   47u  IPv4 1857552760      0t0  TCP vserver1.xxx.de:46265->nombler.gtisc.gatech.edu:smtp (ESTABLISHED)
apache2   25053  www-data   47u  IPv4 1857612054      0t0  TCP vserver1.xxx.de:52394->xk-6-242-a8.bta.net.cn:smtp (CLOSE_WAIT)
apache2   25336  www-data   47u  IPv4 1857571540      0t0  TCP vserver1.xxx.de:52351->xk-6-242-a8.bta.net.cn:smtp (CLOSE_WAIT)
apache2   25590  www-data   47u  IPv4 1857676613      0t0  TCP vserver1.xxx.de:46447->nombler.gtisc.gatech.edu:smtp (ESTABLISHED)
```
Im Prinzip sieht es für mich so aus, als würde Apache2 Verbindungen zu smtp Servern aufbauen, was mir sehr seltsam erscheint.


Viele Grüße Sven


----------



## wotan2005 (8. Sep. 2014)

Unsicheres Formular mit dem Mails versendet ẃerden können.


----------



## cokotech (8. Sep. 2014)

Hi,

dachte ich auch, aber ich habe das Script (ich glaube sogar von Till) installiert, welches alle sendmail Aufrufe protokoliert - nichts!


Viele Grüße Sven


----------



## Till (9. Sep. 2014)

Zitat von cokotech:


> Hi,
> 
> dachte ich auch, aber ich habe das Script (ich glaube sogar von Till) installiert, welches alle sendmail Aufrufe protokoliert - nichts!
> 
> ...


naja, das script protokolliert ja nur emails die über das mailsystem versendet werden (postfix). Es kann aber sein dass das script in dieser Website direkte smtp connects über sockets macht, dann taucht im Log nichts auf.

Was mich wundert ist dass die connects vom apache kommen. laufen Deine Seiten mit mod_php?


----------



## cokotech (9. Sep. 2014)

Zitat von Till:


> naja, das script protokolliert ja nur emails die über das mailsystem versendet werden (postfix). Es kann aber sein dass das script in dieser Website direkte smtp connects über sockets macht, dann taucht im Log nichts auf.
> 
> Was mich wundert ist dass die connects vom apache kommen. laufen Deine Seiten mit mod_php?


Hi Till,

ja wir verwenden mod_php.
Kann man denn irgendwie herausfinden, welches Script geöffnet wurden bzw. welche php scripts gerade laufen?



Viele Grüße Sven


----------



## Till (9. Sep. 2014)

Mit mod_php ist das nicht so einfach, da alles webs unter dem selben user laufen. Du kannst nur versuchen mit lsof alle geöffneten php Dateien zu bekommen und dann diese mal checken.


----------



## cokotech (9. Sep. 2014)

Hi Till,

ich habe mittlerweile auf einem der Webspaces mindestens ein Script gefunden. Hatte den lustigen Namen bind9.php im Verzeichniss css.
Wenn jemand Interesse am Inhalt hat einfach Bescheid geben.

Ich habe meines Erachtens mod_php mehr aus Zufall genommen.
Was wäre denn für normale Webseiten das Beste?


Viele Grüße Sven


----------



## nowayback (9. Sep. 2014)

fast-cgi und suexec


----------

