Server ständig auf CBL

Hallo,
mein Server landet ständig auf verschiedenen Listen. Wenn ich in die Queue schaue ist mir aufgefallen, das massig Mails von der E-Mailadresse www-data@loft1096.serverloft.de weggehen. Das ist aber keine E-Mailadresse von einem User. Wie finde ich jetzt raus warum davon SPAM verschickt wird?

Code:
313906AC027     3475 Sat Sep 13 07:15:06  www-data@loft1096.serverloft.de
(delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[66.196.118.36] while sending RCPT TO)
                                         heyface54@yahoo.com
Der Empfänger ist immer wieder ein anderer.
Danke für eure Hilfe.
 

Till

Administrator
Schau mal in die Mail mit postcat rein. Wenn Sie per php versendet wurde, dann sollte da der Name des PHP Scriptes drin stehen. Also:
Code:
postcat /var/spool/postfix/deferred/3/313906AC027
 
ok dass ist das Ergebnis

Code:
Sep 17 13:39:08 maldet(24279): {scan} scan of /var/www/ (501851 files) in progress...
Sep 17 15:45:24 maldet(24279): {scan} scan completed on /var/www/: files 501851, malware hits 21, cleaned hits 0
Sep 17 15:45:24 maldet(24279): {scan} scan report saved, to view run: maldet --report 091714-1336.24279
Sep 17 15:45:24 maldet(24279): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 091714-1336.24279
Sep 17 15:45:25 maldet(24279): {alert} sent scan report to
 

Till

Administrator
Dann schau Dir mal das Ergebnis an mit:
maldet --report 091714-1336.24279
und prüfe die 21 dort aufgelisteten Dateien.
 

Till

Administrator
Du musst schon in die Dateien rein sehen um festzustellen ob es Hacker Scripte sind oder nicht. Die .jpg Datei ist wahrscheinlich ein getarntes Script und die .php Datei wird laut Name ein Command Shell enthalten.
 

Werbung

Top