Spam durch vuxxxx user

  • Nabend zusammen,


    aktuell komme ich nicht dahinter was hier genau passiert.


    Ein Kunde verschickt alle paar Minuten mehrere Spammails.


    Einen passenden Aufruf auf den http Server gibt es in der Zeit nicht. Auch keinen Cronjob oder sonst was.


    Code
    1. Jun 4 22:39:49 wsx postfix/smtpd[3945]: connect from wsx.myhostname.de[193.26.xxx.xxx]
    2. Jun 4 22:39:49 wsx postfix/smtpd[3945]: C346154C03D: client=wsx.myhostname.de[193.26.xxx.xxx]
    3. Jun 4 22:39:49 wsx postfix/cleanup[4483]: C346154C03D: message-id=<[email protected]>
    4. Jun 4 22:39:49 wsx spamd[2309]: spamd: connection from localhost [::1]:60311 to port 783, fd 6
    5. Jun 4 22:39:49 wsx spamd[2309]: spamd: processing message <[email protected]> for [email protected]:111
    6. Jun 4 22:39:49 wsx spamd[1440]: prefork: child states: BI
    7. Jun 4 22:39:50 wsx spamd[2309]: spamd: identified spam (12.5/5.0) for [email protected]:111 in 0.6 seconds, 1624 bytes.
    8. Jun 4 22:39:50 wsx spamd[2309]: spamd: result: Y 12 - DRUGS_ERECTILE,DRUG_ED_CAPS,FUZZY_CPILL,HTML_MESSAGE,RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,URIBL_BLACK,URI_WPADMIN scantime=0.6,size=1624,[email protected],uid=111,required_score=5.0,rhost=localhost,raddr=::1,rport=60311,mid=<[email protected]>,autolearn=no autolearn_force=no
    9. Jun 4 22:39:50 wsx postfix/cleanup[4483]: C346154C03D: milter-reject: END-OF-MESSAGE from wsx.myhostname.de[193.26.xxx.xxx]: 5.7.1 Blocked by SpamAssassin; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<clientdomain.com>
    10. Jun 4 22:39:50 wsx postfix/smtpd[3945]: disconnect from wsx.myhostname.de[193.26.xxx.xxx]


    Jemand eine Idee wie ich dahinter komme?


    Gruß
    Thomas

    Edited once, last by Tom-i ().

  • @Tom-i


    You mean that the vu2019 user is sending several SPAM messages? What is the PHP application installed for clientdomain.com?

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206

  • Also wenn du keine parallelen Webcalls siehst, dann würde ich an deiner Stelle mal schauen, ob im jeweiligen Benutzerkontext ein oder mehrere Prozesse laufen, die "auffällig" sind. Gibt es Solche, dann würde ich da mal mit strace draufgehen und schauen, was die so treiben. Passiert schnell, dass Leute ihre CMS nicht aktualisieren, dann Lücken ausgenutzt werden, über die Files hochgeladen werden. Die werden dann via Webcall ausgeführt und dann hast du den Dreck im System laufen.

  • @Nuxwin yes it seems there is a mail with severeal cc generated.this domain is a wordpress. client says he installed all updates. beside those POST Requests which appear not in the same time as the mails are send i have not seen any activity in this moment. It appears after some sekonds/minutes. I also rebootet the machine already to kill anything that could be loaded to ram. I will investigate it further today.


    @biologist Ich denke auch das die da irgendwas in den Ram/SHM laden was dann getriggert wird. Ich bin da eigentlich relativ fit. Aber die Header sagen leider nicht viel mehr aus als der Log. Definitiv nicht direkt aus Php.

    Edited once, last by Tom-i ().

  • Ich habe jetzt chmod 000 auf den htdocs Ordner gesetzt. Die mailq selektiv bereinigt. Leider gehts munter weiter.


    Manuell habe ich die Php Files des Wordpress des Kunden geprüft. Keinerlei Infektionen feststellbar.

  • Oh ich habe es gerade gefunden. Ich habe bisher immer nur nach clientdomain.de geschaut. Es ist mir aber gerade aufgefallen das vu2019 garnicht zu clientdomain.de gehört... sondern zu clientdomain2.de ... Somit einem anderen User, welcher natürlich auch auf den ersten Blick direkt infiziert scheint.


    @Nuxwin : I have overlooked that vu2019 does not belong to clientdomain.de . clientdomain.de is vu2021.. The sender is constructed as [email protected].. But vu2019 is clientdomain2.de, another client. There seems to be a check missing if the user belongs to the domain.. Could you check this?

  • @Nuxwin : I have overlooked that vu2019 does not belong to clientdomain.de . clientdomain.de is vu2021.. The sender is constructed as [email protected].. But vu2019 is clientdomain2.de, another client. There seems to be a check missing if the user belongs to the domain.. Could you check this?

    No ! The problem is on your side there.

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206