Skocz do zawartości
ArturT

qmail rozsyła spam

Przez ArturT, w Bezpieczeństwo

Polecane posty

ArturT    0

ArturT
Napisano

Mój VPS rozsyła spam przez qmail. Mam problem w zidentyfikowaniu albo chociaż w przerwaniu wysyłki tego spamu. Ma ktoś jakieś rady co w takim przypadku robić?

 

# ps aux | grep qmail
qmails	 763  0.0  0.0   1912   432 ?	    S    May15   0:12 qmail-send
qmaill	 765  0.0  0.0   1756   256 ?	    S    May15   0:04 splogger qmail
root	   766  0.0  0.0   1784   164 ?	    S    May15   0:03 qmail-lspawn | /usr/bin/deliverquota ./Maildir
qmailr	 767  0.0  0.0   1780   180 ?	    S    May15   0:03 qmail-rspawn
qmailq	 768  0.0  0.0   1752   132 ?	    S    May15   0:02 qmail-clean
root	  1149  0.0  5.3  33316 28244 ?	    Ss   May15   0:05 /usr/bin/spamd --username=popuser --daemonize --nouser-config --helper-home-dir=/var/qmail --ma
x-children 1 --create-prefs --virtual-config-dir=/var/qmail/mailnames/%d/%l/.spamassassin --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.s
ock
qmailr   30676  0.0  0.2   4924  1204 ?	    S    08:16   0:00 /var/qmail/bin/qmail-remote.moved srhip.on.ca root@vpsXXX.domena.pl lhunutr@srhip.on.ca
qmailr   31890  0.0  0.2   4924  1192 ?	    S    08:31   0:00 /var/qmail/bin/qmail-remote.moved math.uqam.ca root@vpsXXX.domena.pl liam@math.uqam.ca
root	 31949  0.0  0.1   2332   716 pts/0    D+   08:31   0:00 grep qmail

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość Adam Szendzielorz   

Gość Adam Szendzielorz
Napisano (edytowany)

Mój VPS rozsyła spam przez qmail. Mam problem w zidentyfikowaniu albo chociaż w przerwaniu wysyłki tego spamu. Ma ktoś jakieś rady co w takim przypadku robić?

 

# ps aux | grep qmail
qmails	 763  0.0  0.0   1912   432 ?		S	May15   0:12 qmail-send
qmaill	 765  0.0  0.0   1756   256 ?		S	May15   0:04 splogger qmail
root	   766  0.0  0.0   1784   164 ?		S	May15   0:03 qmail-lspawn | /usr/bin/deliverquota ./Maildir
qmailr	 767  0.0  0.0   1780   180 ?		S	May15   0:03 qmail-rspawn
qmailq	 768  0.0  0.0   1752   132 ?		S	May15   0:02 qmail-clean
root	  1149  0.0  5.3  33316 28244 ?		Ss   May15   0:05 /usr/bin/spamd --username=popuser --daemonize --nouser-config --helper-home-dir=/var/qmail --ma
x-children 1 --create-prefs --virtual-config-dir=/var/qmail/mailnames/%d/%l/.spamassassin --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.s
ock
qmailr   30676  0.0  0.2   4924  1204 ?		S	08:16   0:00 /var/qmail/bin/qmail-remote.moved srhip.on.ca root@vpsXXX.domena.pl lhunutr@srhip.on.ca
qmailr   31890  0.0  0.2   4924  1192 ?		S	08:31   0:00 /var/qmail/bin/qmail-remote.moved math.uqam.ca root@vpsXXX.domena.pl liam@math.uqam.ca
root	 31949  0.0  0.1   2332   716 pts/0	D+   08:31   0:00 grep qmail

 

Przede wszystkim sprawdz czy Twoj serwer nie jest np. open-relayem, np. tutaj:

 

http://www.abuse.net/relay.html

 

Nastepnie sprawdz w jaki sposob wywolywany wogole jest qmail-smtpd - czy z xinetd / inetd, czy z tcpservera czy jakos inaczej. Potem sprawdz logi (/var/log/maillog). Podejrzyj naglowki ktoregos maila w kolejce, w katalogu np. /var/qmail/queue/mess/0/ prawdopodobnie bedzie mnostwo podobnych maili - podejrzyj jeden z nich i wklej tutaj naglowki - bedzie widac w jaki sposob mail trafil do kolejki (czy przez SMTP, czy przez sendmaila - np. przez dziurawy skrypt PHP i funkcje mail().

Edytowano przez Adam Szendzielorz (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bartosz Stępień    75

Bartosz Stępień
Napisano

U mnie niedawno podobny przypadek, ale to była wina osoby korzystającej z hostingu. Ktoś z Ukrainy wysyłał maile poprzez przesyłanie i usuwanie plików na FTP i później odpalanie ich. Zobacz w logach też czy nikt tak nie robi:

 

May  6 03:57:22 server1 pure-ftpd: (?@127.0.0.1) [iNFO] New connection from 127.0.0.1
May  6 03:57:22 server1 pure-ftpd: (?@127.0.0.1) [iNFO] Logout.
May  6 03:57:24 server1 pure-ftpd: (?@188.190.98.71) [iNFO] New connection from 188.190.98.71
May  6 03:57:24 server1 pure-ftpd: (?@188.190.98.71) [iNFO] pavixion is now logged in
May  6 03:57:25 server1 pure-ftpd: (pavixion@188.190.98.71) [NOTICE] /home/pavixion//adres-strony/ah76wi.php uploaded  (20 bytes, 0.41KB/sec)
May  6 03:57:27 server1 pure-ftpd: (pavixion@188.190.98.71) [NOTICE] /home/pavixion//adres-strony/fuvbagvl.php uploaded  (1843 bytes, 37.39KB/sec)
May  6 03:57:59 server1 pure-ftpd: (pavixion@188.190.98.71) [NOTICE] Deleted /home/pavixion//adres-strony/fuvbagvl.php
May  6 03:57:59 server1 pure-ftpd: (pavixion@188.190.98.71) [NOTICE] Deleted /home/pavixion//adres-strony/ah76wi.php
May  6 03:57:59 server1 pure-ftpd: (pavixion@188.190.98.71) [iNFO] Logout.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Spacedust    0

Spacedust
Napisano

Mam to samo - abuse nie reaguje na maile:

 

188.190.98.71 - syska161 [05/Nov/2012:17:46:59 +0100] "PUT /home/syska161/domena.pl/g688gk7.php" 200 2678

188.190.98.71 - sancho1313 [05/Nov/2012:17:47:40 +0100] "PUT /home/sancho1313/domena2.pl/iueusqgn.php" 200 20

188.190.98.71 - sancho1313 [05/Nov/2012:17:47:40 +0100] "PUT /home/sancho1313/domena2.pl/dxp853n.php" 200 2083

188.190.98.71 - syska161 [05/Nov/2012:17:47:40 +0100] "PUT /home/syska161/domena.pl/cn7b5.php" 200 20

188.190.98.71 - syska161 [05/Nov/2012:17:47:41 +0100] "PUT /home/syska161/domena.pl/fixui.php" 200 2630

188.190.98.71 - sancho1313 [05/Nov/2012:17:48:24 +0100] "PUT /home/sancho1313/domena2.pl/acssfi.php" 200 20

188.190.98.71 - sancho1313 [05/Nov/2012:17:48:25 +0100] "PUT /home/sancho1313/domena2.pl/egfend62.php" 200 2155

188.190.98.71 - syska161 [05/Nov/2012:17:48:25 +0100] "PUT /home/syska161/domena.pl/aoopg.php" 200 20

188.190.98.71 - syska161 [05/Nov/2012:17:48:25 +0100] "PUT /home/syska161/domena.pl/giiwnc.php" 200 3341

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

0xFF    32

0xFF
Napisano

Mam to samo - abuse nie reaguje na maile:

 

Jeśli jesteś administratorem serwera, to przecież możesz wyłączyć konto przez który jest rozsyłany SPAM. Czyż nie? :-)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Spacedust    0

Spacedust
Napisano

Jeśli jesteś administratorem serwera, to przecież możesz wyłączyć konto przez który jest rozsyłany SPAM. Czyż nie? :-)

 

Skasowałem konto i nadal się to wysyła !

 

Dopiero blokada IP przez iptables pomaga...

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

szuszu    0

szuszu
Napisano

Witam wszystkich, mam podobny problem ze spamem, sprobuje blokady adresu IP, tylko pytanie jak znalezc ten adres ktory rozsyla spam przez moj serwer?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Przejdź do listy tematów Bezpieczeństwo
×