[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: postfix open relay verhindern

Manfred Schmitt schrieb:

>> Feb 14 09:56:07 server postfix/pickup[31246]: 10596EB190: uid=33 
>> from=<www-data>
>
> Die mail wurde also (in der Annahme das die logs nicht gefaelscht sind 
> was aber ja so auch keinen echten Sinn ergibt) lokal unter der uid von 
> apache in postfix eingeliefert. Zudem deutet das From=<www-data> darauf 
> hin das dort php im safe-mode involviert war.
> Ich wuerde mal alle apache-logs durchschauen, entweder Du findest da 
> zeitlich und logisch passende Aufrufe

Yep - ein PHP-Script, das Mails verschicken kann und dem man etwas
unterschiebt wäre die eine Möglichkeit.

> oder auf dem Rechner laeuft unter 
> der uid des apache noch andere Software.

Und ein PHP-Script mit Fehlern, die es erlauben, Code des Angreifers
auszuführen, wäre die zweite Möglichkeit. Es ist ja alles andere als
ungewöhnlich, wenn über Scripts - gerne PHP - in ein System
eingebrochen wird; die dann installierten Dienste (Angriffe auf andere
Systeme, dDOS, Spam, Hosting von ... unerwünschten Dateien etc.)
laufen dann auch unter dem Benutzer www-data, jedenfalls solange, bis
sich der Angreifer Root-Rechte verschafft. ;)

-thh
Reply to: