# ISPConfig Postfix - PHP Spamscript?! Wie ausfindig machen?



## iceget (17. Feb. 2011)

Hallo Liebe Community,

ich habe seit einer Woche das Problem das auf meinem Server (Web,Apache,MySQL,Mail) wo sich zirka 200 Domains befinden (wovon bestimmt 50% Safemode auf off gestellt sind) ein Spamscript mich mit dem Server immer in die Spamlisten einträgt. Ich habe folgendes Logfile (mail.log) von Postfix:

50731 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[85.158.139.3]: Connection refused (port 25)
50732 Feb 17 13:52:28 ns1 postfix/smtp[1851]: connect to cluster8.us.messagelabs.com[216.82.241.99]: Connection refused (port 25)
50733 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50734 Feb 17 13:52:28 ns1 postfix/smtp[1867]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50735 Feb 17 13:52:28 ns1 postfix/smtp[1870]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50736 Feb 17 13:52:28 ns1 postfix/smtp[1867]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50737 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[194.106.220.51]: Connection refused (port 25)
50738 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[85.158.139.3]: Connection refused (port 25)
50739 Feb 17 13:52:28 ns1 postfix/smtp[1866]: connect to cluster8.us.messagelabs.com[216.82.241.99]: Connection refused (port 25)
50740 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[85.158.137.67]: Connection refused (port 25)
50741 Feb 17 13:52:28 ns1 postfix/smtp[1836]: connect to cluster8.us.messagelabs.com[216.82.241.99]: Connection refused (port 25)
50742 Feb 17 13:52:28 ns1 postfix/smtp[1872]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50743 Feb 17 13:52:28 ns1 postfix/smtp[1870]: connect to cluster3.eu.messagelabs.com[85.158.139.3]: Connection refused (port 25)
50744 Feb 17 13:52:28 ns1 postfix/smtp[1867]: connect to cluster3.eu.messagelabs.com[85.158.136.35]: Connection refused (port 25)
50745 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50746 Feb 17 13:52:28 ns1 postfix/smtp[1861]: connect to team-bau.at[46.4.31.134]: Connection refused (port 25)
50747 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[85.158.136.3]: Connection refused (port 25)
50748 Feb 17 13:52:28 ns1 postfix/smtp[1867]: connect to cluster3.eu.messagelabs.com[85.158.137.67]: Connection refused (port 25)
50749 Feb 17 13:52:28 ns1 postfix/smtp[1874]: connect to cluster3.eu.messagelabs.com[85.158.137.67]: Connection refused (port 25)
50750 Feb 17 13:52:28 ns1 postfix/smtp[1869]: connect to cluster3.eu.messagelabs.com[85.158.137.83]: Connection refused (port 25)
50751 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[85.158.137.83]: Connection refused (port 25)
50752 Feb 17 13:52:28 ns1 postfix/smtp[1873]: connect to cluster3.eu.messagelabs.com[85.158.139.3]: Connection refused (port 25)
50753 Feb 17 13:52:28 ns1 postfix/smtp[1868]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50754 Feb 17 13:52:28 ns1 postfix/smtp[1864]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50755 Feb 17 13:52:28 ns1 postfix/smtp[1872]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)
50756 Feb 17 13:52:28 ns1 postfix/smtp[1857]: connect to cluster8.us.messagelabs.com[216.82.241.99]: Connection refused (port 25)
50757 Feb 17 13:52:28 ns1 postfix/smtp[1874]: connect to cluster3.eu.messagelabs.com[85.158.136.35]: Connection refused (port 25)
50758 Feb 17 13:52:28 ns1 postfix/smtp[1870]: connect to cluster3.eu.messagelabs.com[194.106.220.51]: Connection refused (port 25)
50759 Feb 17 13:52:28 ns1 postfix/smtp[1872]: connect to cluster3.eu.messagelabs.com[85.158.137.83]: Connection refused (port 25)
50760 Feb 17 13:52:28 ns1 postfix/smtp[1875]: connect to cluster3.eu.messagelabs.com[85.158.136.3]: Connection refused (port 25)
50761 Feb 17 13:52:28 ns1 postfix/smtp[1875]: connect to cluster3.eu.messagelabs.com[85.158.137.35]: Connection refused (port 25)
50762 Feb 17 13:52:28 ns1 postfix/smtp[1873]: connect to cluster3.eu.messagelabs.com[194.106.220.35]: Connection refused (port 25)


Connection refused bekomme ich mittlerweile zurück, weil ich mit dem Server schon auf einigen SPAMListen eingetragen bin, ...

Jetzt finde ich aber nicht das Script was dafür verantwortlich ist. Zumindest habe ich die Apache Logfiles durchsucht, ... das Problem: das Script t_backuptoster_check.php gibt es nicht. Jedoch wird jeden Tag das Script ausgeführt. Auch die Webalizer Statistik zeigt mir das dass Script effektiv aufgerufen wurde (~ 22000 mal) und dann (scheinbar) wieder gelöscht wurde.

Jetzt meine Frage:
Wie kann ich herausfinden welches Script das macht? Bzw. kann ich den Server irgendwie absichern das wenn mehr wie 50 gleichzeitge E-Mails weggesendet werden, automatisch eine E-Mail an mich geht?

Ich hoffe ihr könnt mir helfen!

Ich verwende die aktuellste Version von Postfix auf einem Debian Etch (noch (werde das demnächst updaten)).

Vielen Dank!

glg Markus


----------



## Till (17. Feb. 2011)

Du kannst es mal hiermit versuchen:

http://www.howtoforge.com/how-to-log-emails-sent-with-phps-mail-function-to-detect-form-spam


----------



## iceget (17. Feb. 2011)

*Re*

Hallo Till,

danke erstmal!

Habe nun die php.ini dementsprechend geändert sowie auch das Script unter dem Pfad abgelegt und die ausführbaren Rechte gegeben und Apache neu gestartet.

E-Mail wird gesendet, jedoch befüllt er mir die mail.form nicht.

Wenn ich die phpsendmail via ./phpsendmail auf der Konsole ausführe, kommt folgendes:ns1:

/usr/local/bin# ./phpsendmail
PHP Warning:  Module 'json' already loaded in Unknown on line 0

Ich habe auch in die Datei phpsendmail ein mkdir auf ein beschreibbares verzeichnis auf dem Server gelegt. jedoch legt dieser mir das auch nicht an, ... was mach ich falsch?

Danke schön!

glg Markus


----------



## iceget (17. Feb. 2011)

*Re Problem gelöst, danke*

Danke, habe gesehen das dass Logfile oben wo anders hinzeigt wie unten (also tmp/mail_php.log).

Danke schön!

glg Markus


----------



## iceget (18. Feb. 2011)

*re*



Zitat von Till:


> Du kannst es mal hiermit versuchen:
> 
> http://www.howtoforge.com/how-to-log-emails-sent-with-phps-mail-function-to-detect-form-spam


hey till,

vielen dank!
Hab im FTP Logfile das raufladen der Datei l_backuptoster.php (die habe ich auch in den apache logs bzw. unter webalizer log) gefunden. Habe nun das Passwort geändert des ftp accounts geändert!
Meine Frage wäre nur: ich hab in der php.ini unter sendmail path ein php script angegeben was mir jeden mail aufruf via php in ein logfile schreibt, wieso hab ich das bei dieser php datei nicht gesehen?!?! es wurden einige tausende emails rausgeschickt, und nicht ein eintrag wurde in die phpsendmail.log eingetragen, ...
weist du wie der attentäter mails rausgesendet hat?
vielen dank!

meine zweite frage:
wenn ich bei einem benutzer das passwort ändern möchte (ispconfig) schreibt er immer "benutzer bereits vorhanden", ... wie kann ich das fixen das diese meldung nicht mehr kommt? wie kann das sein das dies so vorkommt?

danke

glg markus


----------



## Till (21. Feb. 2011)

Man kann ja auch mails mit php versenden, ohne die php mail() Funktion zu verwenden, indem man eine in PHP als script implementierte smtp Klasse verwendet.



> wenn ich bei einem benutzer das passwort ändern möchte (ispconfig) schreibt er immer "benutzer bereits vorhanden", ... wie kann ich das fixen das diese meldung nicht mehr kommt? wie kann das sein das dies so vorkommt?


hast Du vielleicht irgend wann mal was am Userprefix geändert? Der Prefix darf nach dem anlegen des ersten Users nicht mehr geändert werden, oder alle vorher angelegten user werden nicht mehr richtig bearbeitbar sein.


----------



## iceget (28. Feb. 2011)

*Re*

Hallo Till,

danke für deine Antwort!

Nein ich hab im Userprefix nichts geändert.

Hab nur damals müssen das System komplett neu aufsetzen. Habe dann die gesamten Daten reingespielt. Kann das sein das da irgendetwas schiefgegangen ist (hab mich eigentlich nach deiner Anleitung gehalten).

Danke und lg Markus

PS wie sieht das mit Debian Lenny aus? Mein System läuft (leider) noch mit Debian Etch. Ist die Umstellung schwierig? Muss ich was beachten? Wäre das ein Problem das System auf eine neue Hardware + neue IP-Adressenbereiche zu transferieren?


----------

