# Server ständig auf CBL



## Falloutboy6 (17. Sep. 2014)

Hallo,
mein Server landet ständig auf verschiedenen Listen. Wenn ich in die Queue schaue ist mir aufgefallen, das massig Mails von der E-Mailadresse www-data@loft1096.serverloft.de weggehen. Das ist aber keine E-Mailadresse von einem User. Wie finde ich jetzt raus warum davon SPAM verschickt wird?


```
313906AC027     3475 Sat Sep 13 07:15:06  www-data@loft1096.serverloft.de
(delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[66.196.118.36] while sending RCPT TO)
                                         heyface54@yahoo.com
```
Der Empfänger ist immer wieder ein anderer.
Danke für eure Hilfe.


----------



## Till (17. Sep. 2014)

Schau mal in die Mail mit postcat rein. Wenn Sie per php versendet wurde, dann sollte da der Name des PHP Scriptes drin stehen. Also:

```
postcat /var/spool/postfix/deferred/3/313906AC027
```


----------



## Falloutboy6 (17. Sep. 2014)

ah ok also müsste es dann dieser hier sein oder?
	
	



```
X-Mailer: Achi-KochiMailLitever1.00
```


----------



## Till (17. Sep. 2014)

Such mal nach php:

```
postcat /var/spool/postfix/deferred/3/313906AC027 | grep php
```


----------



## Falloutboy6 (17. Sep. 2014)

Da bekomme ich dann


```
<a href="http://vtemplates.org/xml.php?u=4T0gqmLhOjc03peKIqPWxg">
```


----------



## Till (17. Sep. 2014)

Möglicherweise wird der Sam dann von einem Perl Script versendet. Ich würde Dir raten den Server einmal mit maldetect zu scannen:
https://www.howtoforge.de/anleitung/malware-finden-auf-linux-servern/


----------



## Falloutboy6 (17. Sep. 2014)

ok dass ist das Ergebnis


```
Sep 17 13:39:08 maldet(24279): {scan} scan of /var/www/ (501851 files) in progress...
Sep 17 15:45:24 maldet(24279): {scan} scan completed on /var/www/: files 501851, malware hits 21, cleaned hits 0
Sep 17 15:45:24 maldet(24279): {scan} scan report saved, to view run: maldet --report 091714-1336.24279
Sep 17 15:45:24 maldet(24279): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 091714-1336.24279
Sep 17 15:45:25 maldet(24279): {alert} sent scan report to
```


----------



## Till (17. Sep. 2014)

Dann schau Dir mal das Ergebnis an mit:
maldet --report 091714-1336.24279
und prüfe die 21 dort aufgelisteten Dateien.


----------



## Falloutboy6 (17. Sep. 2014)

19 E-Mails
1 PHP-Datei {HEX}php.cmdshell.SimShell.349
1 JPG-Datei


----------



## Till (17. Sep. 2014)

Du musst schon in die Dateien rein sehen um festzustellen ob es Hacker Scripte sind oder nicht. Die .jpg Datei ist wahrscheinlich ein getarntes Script und die .php Datei wird laut Name ein Command Shell enthalten.


----------

