Spammailversand - Mailadresse blockieren oder löschen

  • Hallo,
    mir ist aufgefallen, dass von einer Webseite mit der Mailadresse [email protected] massenhaft Mails versendet werden. Bisher lief der Server immer ohne Zwischenfälle, weshalb ich hier auch nciht unbedingt die Erfahrungen habe. Ich lösche aktuell immer den Inhalt der Queue und suche auf der Webseite, wofür ich den Zugang habe nach einer möglichen Lücken. Auch habe ich das Mailkonto webmaster@ aus der Domainkonf. gelöscht. Jedoch werden immer noch Mails als dieser Webmaster versendet, obwohl doch das Konto nicht mehr existieren dürfte. Der Server ein Debian ist auf dem aktuellen Patchstand, an i-MSCP dürfte es auch nicht liegen. Hier brauche etwas Hilfe und Unterstützung bei der Fehlersuche bzw. ggf. Blockierung der Mails.

  • So habe die Webseite vorerst im Offlinemodus versetzt und beobachte nun das mal. Evtl. muss ja ein Script auf den Server gelangt sein dass nun den Versand erlaubt. Idee wie man hier am besten vorgeht? Ich werde mal nen Virenscanner drüber laufen lassen und mir alle neuen Dateien seit gestern anzeigen..

  • Hi,
    sorry ich bins wieder.Ich konnte das Problem finden. Im Webverzeichnis wurde ein php-Script abgelegt Inhalt so erst Mal für mich nichts aussagend - habs entfernt alle Rechte neugesetzt und schaue weiter. Bleibt dennoch die Frage warum gesendet werden konnte, obwohl ich den webmaster@ über das Panel gelöscht habe - wegen Build in????

  • Mit der php-mail Funktion kannst du emails mit jeder beliebigen Adresse verschicken, die die Domain des Webspaces enthält. Such mal nach nem exploit und update deine Webskripte...

  • Geht es um eine Webpräsenz von einem Kunden und von dem wurde plötzlich gespammt?
    Wenn ja: schau dir mal die Logs vom FTP an. Ich hatte das vor mehreren Monaten auch, dass von mehreren Kunden die Zugangsdaten ausgespät wurden. Dadurch wurden php-Files in den jeweiligen Webspace geladen und dann ausgeführt. Am Ende wurden diese Files wieder gelöscht.

  • php-mail kann auch mit logging aktiviert werden, so hast du dann eine Datei wo du sehen kannst, welche Datei per php-mail sendet ;-)
    Evtl. kann man die Datei per fail2ban überwachen und entsprechend eine Mail an dich veranlassen, wenn es zu einer Welle kommt.. hier reichen meine Kenntnisse jedoch nicht aus.


    Gruß
    Sven

  • Was ist denn auf dem Webspace installiert? Joomla, Wordpress oder was anderes...
    Wenn phpmail sendet, dann wird immer mit webmaster gesendet. Da kannst Du löschen was Du willst. Ein Blick in die php.ini würde Dir das auch zeigen.
    Prüfe mal das access.log des Webspaces und suche dort mal nach "POST". Ich gehe davon auch das Du massig Einträge finden wirst. Dann ist der Webspace kompromitiert worden.
    Zusätzlich würde ich den Webspace auf Dateien untersuchen die nicht 644 besitzen

    Code
    1. find /var/www/virtual/domain.tld/htdocs -type f ! -perm 0644
  • @Ninos
    er schreibt doch im ersten Post was von Webmaster. Also sind die Funktionen von phpmail absolut uninteressant. Sollte der Webspace kompromittiert worden sein, dann machen die sich nicht die Mühe den Absender zu manipulieren. Das würde Unmengen an Emails erzeugen die niemals ihr Ziel erreichen, weil der Mailserver des Empfängers in der Regel einen DNS Lookup macht und dann erkennt das die Domain nicht zu der IP gehört und somit die Email Rejected. Das ist doch nicht das Ziel von diesen Affen. Die wollen Spam versenden der ankommt, solange der Server nicht auf der Blacklist steht.