Hilfe, mein Webserver versendet Spam!

Dein WebServer verschickt Spam und du weisst nicht warum?
Du weisst nicht welche Website vielleicht dazu ausgenutzt wird?

Kein Problem. Hier kommt die Lösung:

cd /root/
nano sendmail-wrapper

#!/bin/sh
TODAY=`date -Iseconds`
echo $TODAY sendmail-wrapper called $USER from $PWD >>/tmp/mail.send
(echo X-Additional-Header: $(dirname $PWD);cat) | /usr/lib/sendmail-real "[email protected]"

Hier kann es sein das wir /usr/lib/sendmail-real anpassen. Der Pfad könnte auch heissen /usr/sbin/sendmail-real
Danach muß der Wrapper noch in die Abarbeitung eingeführt werden:

chmod +x sendmail-wrapper
mv /usr/lib/sendmail /usr/lib/sendmail-real
mv sendmail-wrapper /usr/lib/sendmail

Was tun, wenn sich nix tut?
Ob es funktioniert ist leicht mit einem kleine PHP-Script, welches ein Email verschickt zu überprüfen.
Falls das Logfile nicht geschrieben wird, einfach mal prüfen, ob PHP überhaupt Sendmail nutzt und welcher sendmail_path in phpinfo() angezeigt wird.
Ggf. kommen auch andere Pfade in Frage. Dann handelt man damit einfach analog zu oben.

Warum reicht das?
a) Weil die meisten Installationen von PHP oder CGI-Scripten sendmail nutzten.
b) Weil auch bei ausgeschalteten Mailserver das Logfile geschrieben wird.

Wie mach ich das Rückgängig?
einfach die sendmail-real wieder statt den Wrapper einsetzen:

mv /usr/lib/sendmail-real /usr/lib/sendmail
Oder den anderen Pfad!