PHP Spam Mail Scripte auf Webserver finden

Ihr Server verschickt Spam? Häufig sind nicht Angriffe von Außen für den Spam verantwortlich, sondern Sicherheitslecks in CMS Systemen die dazu führen das PHP Mail Scripte oder Formulare auf den Server geladen werden können. Diese PHP Mail Scripte werden dann von außen angesteuert und versenden Spam über Ihren Mail Server. Schieben Sie Spam schnell einen Riegel vor, ansonsten könnte Ihr Server geblacklisted werden.

Spam Mail Skripte finden

Job / Task

Unix Command

Sucht im Pfad „/var/www“ rekursiv nach Skripten die die PHP Mail-Funktion implementiert haben, Schalter -s unterdrückt grep Errors, Dateien die den Namen „phpmailer“ tragen werden ausgenommen find /var/www/ -name ‚*.php‘ ! -name ‚*phpmailer*‘ | xargs grep -w ‚mail(‚ -s
Skripte mit dem Programmaufruf „eval“ finden und Seitenweise ausgeben. find . -name ‚*.php‘ | xargs grep -w ‚eval‘ | more
neue Einträge im Maillog auf Debian Linux Server dauerhaft ausgeben lassen tail -f /var/log/mail.log
Maillog-Einträge zählen, Auflistung erfolgt nach gesendten Emails und allen Emailkonten grep ’status=sent‘ /var/log/mail.log | cut -d ‚=‘ -f 2 | cut -d ‚>‘ -f 1 | cut -d ‚<‚ -f 2 | sort | uniq -c
Bruteforce Loginversuche am Mailserver auflisten
Funktioniert die Zeile bei Ihnen nicht, variieren Sie die Zahl nach „f“
IP Adressen die hier häufig auftreten überprüfen Sie weiter
grep ‚dovecot‘ /var/log/mail.log | grep ‚Aborted login‘ | cut -d ‚,‘ -f 4 | cut -d ‚:‘ -f 5 | sort -n | uniq -c
Herkunft von verdächtiger IP Adresse prüfen http://www.geoiptool.com
Kommt die IP Adresse aus einem verdächtigen Land, können Sie diese direkt in der Linux Firewall (iptables) sperren iptables -I INPUT -s {IP Adresse} -p tcp -j DROP

Postfix Maillog auslesen

Maillog vortlaufend ausgeben lassen tail -f /var/log/mail.log
Maillog vortlaufend ausgeben lassen und nach „postfix“ filtern tail -f /var/log/mail.log | grep postfix
Maillog vortlaufend ausgeben lassen und nur gesendete Nachrichten anzeigen tail -f /var/log/mail.log | grep status=sent
Größe aller Emailkonten auf Server ausgeben lassen (wenn confixx verwendet wird) cd /home/email
du -h –max-depth=1 | sort -h

Mail über Linux Command Line versenden

Dafür können Sie auf der Kommandozeile im Terminal direkt das Programm „mail“ verwenden.

  • -s subject (Betreff für diese Nachricht, sollte immer angegeben werden)
  • -c copy email (CC Feld)
  • -b blind carbon copy email (BCC Feld)
Prozesse per Mail versenden top -b -n 1 | mail -s ‚{Betreff}‘ hugo@habicht.at
Letzten 10 Zeilen des Maillog per Email, mit dem Betreff „Serverlog“ an a.grundner@greenitsolutions, an hugo@test.at in Kopie, versenden tail /var/log/mail.log | mail a.grundner@greenitsolutions.at -s ‚Serverlog‘ -c hugo@test.at

Spam auf Unix Server finden und bekämpfen

Anti-Spam Strategien für Ihren Webserver von der HTL Donaustadt.

Sei sozial und teile

Über den Autor Andreas Grundner

Ich bin Wordpress, Joomla, Typo3 Integrator, Unix Rootserver Administrator und Webanwendungsprogrammierer. Mittlerweile habe ich über 70 Webprojekte weitgehend selbstständig mit enger Kundenabsprache realisiert. Ich bin auf One Page Websites auf Wordpress-Basis spezialisiert, biete aber auch Suchmaschinenoptimierung (SEO), Blogs, Facebook, Youtube und Google+ Seiten an. Meine Verpflichtung gilt dem Datenschutz, meine Leidenschaft dem Finden und Aufzeigen von Sicherheitslücken in Webanwendungen.

3 Reaktionen zu PHP Spam Mail Scripte auf Webserver finden

  1. jörg haisler
    04.10.2016 at 11:30 · Antworten

    Hallo,

    vielen Dank für die Informationen rund ums Thema spam mail

    Aber dieser Befahl lässt sich unter CentOS nicht ausführen:
    -bash: Syntaxfehler beim unerwarteten Wort `(‚

    find /var/www/ -name ‚*.php‘ ! -name ‚*phpmailer*‘ | xargs grep -w ‚mail(‚ -s

    Mit freundlichen Grüßen
    Jörg Haisler

    • Sascha Zindel
      19.11.2016 at 09:39 ·

      Korrekt wäre:
      find /home/ -name ‚*.php‘ ! -name ‚*phpmailer*‘ | xargs grep -w „mail(„‚ -s

    • Andreas
      22.12.2016 at 19:56 ·

      Danke für den Hinweis. WordPress wandelt die doppelten Hochkommer leider in etwas anderes um.

Meinung sagen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.