it-swarm.com.de

Wie finde ich heraus, welches Skript auf meinem Server Spam-E-Mails sendet?

Mein Server sendet die Spam-E-Mail und ich kann nicht herausfinden, welches Skript sie sendet.

Die E-Mails stammten alle von [email protected] so deaktiviert vom cpanel, dass nobody keine E-Mails senden darf

Zumindest gehen sie jetzt nicht aus, ich empfange sie immer wieder. Dies ist eine Mail, die ich bekomme:

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  [email protected]
    Mail sent by user nobody being discarded due to sender restrictions in WHM->Tweak Settings

------ This is a copy of the message, including all the headers. ------

Return-path: <[email protected]>
Received: from nobody by cpanel.myserver.com with local (Exim 4.80)
        (envelope-from <[email protected]>)
        id 1UBBap-0007EM-9r
        for [email protected]; Fri, 01 Mar 2013 08:34:47 +1030
To: [email protected]
Subject: Order Detail
From: "Manager Ethan Finch" <[email protected]>
X-Mailer: Fscfz(ver.2.75)
Reply-To: "Manager Ethan Finch" <[email protected]>
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----------1362089087512FD47F4767C"
Message-Id: <[email protected]>
Date: Fri, 01 Mar 2013 08:34:47 +1030

------------1362089087512FD47F4767C
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit

Dies sind meine Protokolle für Exim-Protokolle:

2013-03-01 14:36:00 no IP address found for Host gw1.corpgw.com (during SMTP connection from [203.197.151.138]:54411)
2013-03-01 14:36:59 H=() [203.197.151.138]:54411 rejected MAIL [email protected]: HELO required before MAIL
2013-03-01 14:37:28 H=(helo) [203.197.151.138]:54411 rejected MAIL [email protected]: Access denied - Invalid HELO name (See RFC2821 4.1.1.1)
2013-03-01 14:37:28 SMTP connection from (helo) [203.197.151.138]:54411 closed by DROP in ACL
2013-03-01 14:37:29 cwd=/var/spool/exim 2 args: /usr/sbin/exim -q
2013-03-01 14:37:29 Start queue run: pid=12155
2013-03-01 14:37:29 1UBBap-0007EM-9r ** [email protected] R=enforce_mail_permissions: Mail sent by user nobody being discarded due to sender restrictions in WHM->Tweak Settings
2013-03-01 14:37:29 cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1UBBap-0007EM-9r
2013-03-01 14:37:30 1UBHFp-0003A7-W3 <= <> R=1UBBap-0007EM-9r U=mailnull P=local S=7826 T="Mail delivery failed: returning message to sender" for [email protected]
2013-03-01 14:37:30 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1UBHFp-0003A7-W3
2013-03-01 14:37:30 1UBBap-0007EM-9r Completed
2013-03-01 14:37:32 1UBHFp-0003A7-W3 aspmx.l.google.com [2607:f8b0:400e:c00::1b] Network is unreachable
2013-03-01 14:37:38 1UBHFp-0003A7-W3 => [email protected] <[email protected]> R=lookuphost T=remote_smtp H=aspmx.l.google.com [74.125.25.26] X=TLSv1:RC4-SHA:128
2013-03-01 14:37:39 1UBHFp-0003A7-W3 Completed
2013-03-01 14:37:39 End queue run: pid=12155
2013-03-01 14:38:20 SMTP connection from [127.0.0.1]:36667 (TCP/IP connection count = 1)
2013-03-01 14:38:21 SMTP connection from localhost [127.0.0.1]:36667 closed by QUIT
2013-03-01 14:42:45 cwd=/ 2 args: /usr/sbin/sendmail -t
2013-03-01 14:42:45 1UBHKv-0003BH-LD <= [email protected] U=root P=local S=1156 T="[cpanel.server.com] Root Login from IP 122.181.3.130" for [email protected]
2013-03-01 14:42:45 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1UBHKv-0003BH-LD
2013-03-01 14:42:47 1UBHKv-0003BH-LD aspmx.l.google.com [2607:f8b0:400e:c00::1a] Network is unreachable
2013-03-01 14:42:51 1UBHKv-0003BH-LD => [email protected] R=lookuphost T=remote_smtp H=aspmx.l.google.com [74.125.25.27] X=TLSv1:RC4-SHA:128
2013-03-01 14:42:51 1UBHKv-0003BH-LD Completed
2013-03-01 14:43:22 SMTP connection from [127.0.0.1]:37499 (TCP/IP connection count = 1)
2013-03-01 14:43:23 SMTP connection from localhost [127.0.0.1]:37499 closed by QUIT

Gibt es eine Möglichkeit herauszufinden, welches Skript oder welcher Benutzer diese generiert?

12
user75380

Die Installation von Linux Malware Detect ( http://www.rfxn.com/projects/linux-malware-detect/ ) ist recht einfach :). Gehen Sie über diesen Link, laden Sie http://www.rfxn.com/downloads/maldetect-current.tar.gz herunter. Der Link zu dieser Datei befindet sich ganz oben auf der Webseite. Entpacken Sie dann dieses Archiv und wechseln Sie in das neu erstellte Verzeichnis, indem Sie cd in Ihrem Terminal ausführen. Im Verzeichnis ausführen

Sudo ./install.sh

dadurch wird der Scanner auf Ihrem System installiert. Um das Scannen selbst durchzuführen, müssen Sie ausführen

Sudo/usr/local/sbin/maldet -a /

-eine Option bedeutet hier, dass Sie alle Dateien scannen möchten. Verwenden Sie stattdessen -r, um nur die neuesten zu scannen./gibt das Verzeichnis an, in dem der Scan durchgeführt werden soll. Ändern Sie es einfach in ein beliebiges Verzeichnis.

Nur das )

22

Die E-Mails stammten alle von [email protected]

Suchen Sie alle Prozesse, die als nobody ausgeführt werden:

ps -U nobody

SMTP-Verbindung von [127.0.0.1]: 36667 (Anzahl der TCP/IP-Verbindungen = 1)

Führen Sie netstat unter watch aus, um festzustellen, welcher Prozess eine Verbindung zu Port 25 herstellt:

watch 'netstat -na | grep :25'

Mithilfe dieser Schritte können Sie herausfinden, ob der Schuldige der ... Webserver ist. Anschließend können Sie ein strace ausführen, um zu sehen, welches Skript beim Senden einer E-Mail aufgerufen wird:

strace -f -e trace=open,stat -p 1234 -o wserver.strace

(1234 ist die übergeordnete PID des Webserverprozesses)

8
quanta

Führen Sie einen Malware-Scanner wie maldet oder AVG oder beides für die Daten Ihres Benutzers aus. Die meisten schädlichen Skripte werden von solchen Tools erfasst.

4
Michael Hampton