Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 29 marca 2024, 10:17

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 7 ] 
Autor Wiadomość
 Tytuł: Atak na poczte
Post: sobota, 5 lutego 2011, 15:15 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Mam atak na exim lub na poczte :
: [/] [] ()
2011-02-04 23:07:23 1PlT0a-0004Qp-1U == 9152271658@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004Ql-0a == 9152271657@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004Qt-2a == 9152271659@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004Qx-3c == 9152271660@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004RH-9e == 9152271665@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004R9-7X == 9152271663@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo

i tak bez przerwy. Zmienia sie tylko to co jest przed @.
Z tego co wnioskuje na razie jakis skrypt propbuje wyczaic na razie numery, ale pewnie za moment wezmie sie za kolejne nazwy.
Jak kompletnie z NND wyciac od strony internetu odpowiedniego hosta ?
Znaczy jak go kompletnie zablokowac ?
Skoczylo mi averange na serwerze i zuzycie procesora co mnie martwi ...
Na dluzsza mete moze to byc nie zdrowe :)
Glownie obciazenie generuje exim.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 5 lutego 2011, 18:35 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
To TWÓJ serwer usiłuje wysłać coś w świat i jakiś zdalny serwer nie przyjmuje. Masz kolejne włamanie albo spamera w sieci. :twisted:

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 5 lutego 2011, 19:45 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
No dobra to co kolejno zrobic w tej sytuacji ?
Na razie wylaczylem exima, ale jak go tylko wlacze to generuje mi kupe wpisow
do log i wzrasta obiazenie na procesorze. Przejrzalem wszystkie katalogi, ale jakos
nie zauwazylem czegos podejrzanego ...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 5 lutego 2011, 20:35 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
W /var/spool/exim/input masz niewysłane przesyłki i w /var/spool/exim/msglog masz logi niewysłanych przesyłek. Jak poprzeglądasz to zobaczysz czy:
- wysyłki pochodzą z user@obcy serwer na user@innyobcyserwer
- wysyłki pochodzą z user@twojserwer na user@obcyserwer

W pierwszym wypadku możesz mieć włamanie i ktoś z localhosta wysyła przez np. php lub przez funkcję mail systemu. Możesz też mieć open relay przez jakieś zmiany w konfiguracji, które zresztą też mogły nastąpić w wyniku włamania, ale niekoniecznie.
W drugim przypadku twój user jest spamerem, ma zawirusowany komp, lub ktoś włamał się na jego skrzynkę pocztową metodą brutal force. Ostatnio sporo było ataków na pop3, więc bym tego nie wykluczał.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 lutego 2011, 02:16 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Mam tak :
1. w katalogu /var/spool/exim/msglog od groma logow i w kazdym jest tak :
: [/] [] ()
2011-02-04 22:17:11 Received from nobody@domena.pl U=nobody P=local S=443
2011-02-04 22:17:11 9152273298@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

: [/] [] ()
2011-02-04 22:17:11 Received from nobody@domena.pl U=nobody P=local S=443
2011-02-04 22:17:11 9152273297@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2. w /var/spool/exim/input mam :

: [/] [] ()
1PlSza-0002mS-0R-H
nobody 99 98
<nobody@domena.pl>
1296854098 0
-ident nobody
-received_protocol local
-body_linecount 3
-max_received_linelength 68
-auth_id nobody
-auth_sender nobody@domena.pl
-allow_unqualified_recipient
-allow_unqualified_sender
-local
XX
1
9152270269@cingularme.com

159P Received: from nobody  by bluelan.eu (Windows Mail SMTP) with local
          id 1PlSza-0002mS-0R
          for <9152270269@cingularme.com>; Fri, 04 Feb 2011 22:14:58 +0100
038  Date: Fri, 04 Feb 2011 22:14:58 +0100
043I Message-Id: <E1PlSza-0002mS-0R@bluelan.eu>
030T To: 9152270269@cingularme.com
019  Subject: gecu 2011
024F From: hi<gecu@mail.com>
024  Content-Type: text/html
034S Sender: nobody <nobody@domena.pl>

: [/] [] ()
1PlSza-0002mW-3F-D

Hello. My name is Angela Smith from GECU . Please call 253-753-1273.
Tez bardzo duzo ...
Jak na razie skasowalem wszystkie przesylki i logi i po starcie exim jakby
sie uspokoilo ...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 lutego 2011, 13:54 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Zakładam, ze to nobody@domena.pl to jest nobody z twojej domeny.
Zatem ktoś wykorzystuje funkcję mail w php zapewne.
1. User jakiś zrobił sobie mechanizm do spamowania w php.
2. Włamywacz zrobił sobie mechanizm do spamowania przez php.
3. Ktoś wykorzystuje twój własny dziurawy i niezabezpieczony formularz mailowy.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 lutego 2011, 20:58 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
AD ... Cytowalem logi dokladnie bez zmieniania ich tresci wiec moge sie jedynie domyslac, ze
jesli ktos probuje cos takiego zrobic to robi to nieudolnie, znaczy pod tym wzgledem, ze nie
przypilnowal wszystkiego do konca i nie zmienil domena.pl na taka jaka mam :)
Nobody z mojej domeny jest inne ...

AD1 calkiem mozliwe. Jak na razie nie znalazlem, ale jak znajde to urwe najpierw lewe a pozniej prawe jajko :)
AD2 tez mozliwe, ale tez nie znalazlem. Chociaz te mozliwosc raczej odrzucam
AD3 to jest najmniej prawdopodobne, ale biore to tez pod uwage


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 7 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 14 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl