Postfix – Spam-Quelle finden & schadhaftes Script entfernen

Hi All,

solltet Ihr merken, dass euer Postfix Server Spams versendet, ist das ziemlich ärgerlich… Anbei eine kurze Anleitung wie Ihr die Spam-Quelle herausfinden könnt und welches Script dafür verantwortlich ist:

Anleitung in 9 Schritten

1.) Per SSH mit Root Rechten anmelden
2.) Die Mailqueue checken

–> mailq
–> postqueue -p

3.) Merkt euch die ID einer schadhaften Mail, in unserem Fall ID 04E3F252023 (Copy & Paste)
4.) Anzeigen des Inhalts der Mail

–> postcat -q 04E3F252023

5.) Dabei wird Euch die Mail angezeigt und unter „X-PHP-Originating-Script“ steht das Spam Script.

6.) Den Speicherort des Scriptes finden. Wechselt hierzu in euren http root Ordner z.B. /var/www und führt folgenden Befehl aus

–> grep -R 'NamedesScripts.php' *

7.) Script löschen und sicherstellen, dass die Webseite die letzten Securitypatche hat und das die Ordnerberechtigungen passen
8.) Löscht alle Mails in der Queue

–> postsuper -d ALL

9.) Nochmal testen ob die Queue leer ist. Sollte das nicht der Fall sein, den Vorgang solange wiederholen bis Ihr alle Scripte gefunden habt.

–> mailq
–> postqueue -p

Mehr zum Thema IT-Sicherheit gibt es auf unsere IT-Securiy Seite. Nehmt doch kurz und unkompliziert mit uns Kontakt auf.

Cheers
Franky