Postfix – Quelle für Spam herausfinden & schadhaftes Script entfernen

Spam Postfix entfernenHi All,

solltet Ihr merken, dass euer Postfix Server Spams versendet, ist das ziemlich ärgerlich… Anbei eine kurze Anleitung wie Ihr herausfinden könnt welches Script dafür verantwortlich ist:

1.) Per SSH mit Root Rechten anmelden
2.) Die Mailqueue checken

–> mailq
–> postqueue -p

3.) Merkt euch die ID einer schadhaften Mail, in unserem Fall ID 04E3F252023 (Copy & Paste)
4.) Anzeigen des Inhalts der Mail

–> postcat -q 04E3F252023

5.) Dabei wird Euch die Mail angezeigt und unter „X-PHP-Originating-Script“ steht das Spam Script.

postfix-schadhaftes-spam-script-finden

6.) Den Speicherort des Scriptes finden. Wechselt hierzu in euren http root Ordner z.B. /var/www und führt folgenden Befehl aus

–> grep -R 'NamedesScripts.php' *

7.) Script löschen und sicherstellen, dass die Webseite die letzten Securitypatche hat und das die Ordnerberechtigungen passen
8.) Löscht alle Mails in der Queue

–> postsuper -d ALL

9.) Nochmal testen ob die Queue leer ist. Sollte das nicht der Fall sein, den Vorgang solange wiederholen bis Ihr alle Scripte gefunden habt.

–> mailq
–> postqueue -p

Mehr zum Thema IT-Sicherheit gibt es auf unsere IT-Securiy Seite. Nehmt doch kurz und unkompliziert mit uns Kontakt auf.

Cheers
Franky