Ein vhost verschickt spam mails…aber welcher nur?

Um den Übeltäter zu finden, können zwei Einträge in der /etc/php5/apache2/php.ini helfen:

mail.add_x_header = On
mail.log = /var/log/phpmail.log

mail.add_x_header ist eigentlich per default aktiviert bei Debian. Im phpmail.log findet man dann:

mail() on [/var/www/vhosts/domain.com/httpdocs/pages/modules/system/system.mail.inc:83]: To: jeff@domain.co.uk -- Headers: MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed; delsp=yes Content-Transfer-Encoding: 8Bit X-Mailer: Drupal Sender: jeff@domain.co.uk From: jeff@domain.co.uk

Darauf achten das der Webuser auch in das Log schreiben darf.
Das ganze gibt es erst seit PHP 5.3.

Tatsächlich hilft auch ab und an mal ein

$ clamscan -i -r *
docroots/profiles.php: PHP.Trojan.WebShell-9 FOUND

Clamscan findet eine ganze Reihe von PHP Shells und auffälligen Code.

Mehr Infos findet an

http://blog.rimuhosting.com/2012/09/20/finding-spam-sending-scripts-on-your-server

http://php.net/manual/en/mail.configuration.php

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.