Ihr Server verschickt Spam? Häufig sind nicht Angriffe von Außen für den Spam verantwortlich, sondern Sicherheitslecks in CMS Systemen die dazu führen das PHP Mail Scripte oder Formulare auf den Server geladen werden können. Diese PHP Mail Scripte werden dann von außen angesteuert und versenden Spam über Ihren Mail Server. Schieben Sie Spam schnell einen Riegel vor, ansonsten könnte Ihr Server geblacklisted werden.
Spam Mail Skripte finden
Job / Task |
Unix Command |
| Sucht im Pfad „/var/www“ rekursiv nach Skripten die die PHP Mail-Funktion implementiert haben, Schalter -s unterdrückt grep Errors, Dateien die den Namen „phpmailer“ tragen werden ausgenommen | find /var/www/ -name ‚*.php‘ ! -name ‚*phpmailer*‘ | xargs grep -w ‚mail(‚ -s |
| Skripte mit dem Programmaufruf „eval“ finden und Seitenweise ausgeben. | find . -name ‚*.php‘ | xargs grep -w ‚eval‘ | more |
| neue Einträge im Maillog auf Debian Linux Server dauerhaft ausgeben lassen | tail -f /var/log/mail.log |
| Maillog-Einträge zählen, Auflistung erfolgt nach gesendten Emails und allen Emailkonten | grep ’status=sent‘ /var/log/mail.log | cut -d ‚=‘ -f 2 | cut -d ‚>‘ -f 1 | cut -d ‚<‚ -f 2 | sort | uniq -c |
| Bruteforce Loginversuche am Mailserver auflisten Funktioniert die Zeile bei Ihnen nicht, variieren Sie die Zahl nach „f“ IP Adressen die hier häufig auftreten überprüfen Sie weiter |
grep ‚dovecot‘ /var/log/mail.log | grep ‚Aborted login‘ | cut -d ‚,‘ -f 4 | cut -d ‚:‘ -f 5 | sort -n | uniq -c |
| Herkunft von verdächtiger IP Adresse prüfen | http://www.geoiptool.com |
| Kommt die IP Adresse aus einem verdächtigen Land, können Sie diese direkt in der Linux Firewall (iptables) sperren | iptables -I INPUT -s {IP Adresse} -p tcp -j DROP |
Postfix Maillog auslesen
| Maillog vortlaufend ausgeben lassen | tail -f /var/log/mail.log |
| Maillog vortlaufend ausgeben lassen und nach „postfix“ filtern | tail -f /var/log/mail.log | grep postfix |
| Maillog vortlaufend ausgeben lassen und nur gesendete Nachrichten anzeigen | tail -f /var/log/mail.log | grep status=sent |
| Größe aller Emailkonten auf Server ausgeben lassen (wenn confixx verwendet wird) | cd /home/email du -h –max-depth=1 | sort -h |
Mail über Linux Command Line versenden
Dafür können Sie auf der Kommandozeile im Terminal direkt das Programm „mail“ verwenden.
- -s subject (Betreff für diese Nachricht, sollte immer angegeben werden)
- -c copy email (CC Feld)
- -b blind carbon copy email (BCC Feld)
| Prozesse per Mail versenden | top -b -n 1 | mail -s ‚{Betreff}‘ hugo@habicht.at |
| Letzten 10 Zeilen des Maillog per Email, mit dem Betreff „Serverlog“ an a.grundner@greenitsolutions, an hugo@test.at in Kopie, versenden | tail /var/log/mail.log | mail a.grundner@greenitsolutions.at -s ‚Serverlog‘ -c hugo@test.at |
Spam auf Unix Server finden und bekämpfen
Anti-Spam Strategien für Ihren Webserver von der HTL Donaustadt.
Hallo,
vielen Dank für die Informationen rund ums Thema spam mail
Aber dieser Befahl lässt sich unter CentOS nicht ausführen:
-bash: Syntaxfehler beim unerwarteten Wort `(‚
find /var/www/ -name ‚*.php‘ ! -name ‚*phpmailer*‘ | xargs grep -w ‚mail(‚ -s
Mit freundlichen Grüßen
Jörg Haisler
Korrekt wäre:
find /home/ -name ‚*.php‘ ! -name ‚*phpmailer*‘ | xargs grep -w „mail(„‚ -s
Danke für den Hinweis. WordPress wandelt die doppelten Hochkommer leider in etwas anderes um.