Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Atak na poczte http://forum.freesco.pl/viewtopic.php?f=24&t=18493 |
Strona 1 z 1 |
Autor: | CyberDuck [ sobota, 5 lutego 2011, 15:15 ] |
Tytuł: | Atak na poczte |
Mam atak na exim lub na poczte : 2011-02-04 23:07:23 1PlT0a-0004Qp-1U == 9152271658@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo 2011-02-04 23:07:23 1PlT0a-0004Ql-0a == 9152271657@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo 2011-02-04 23:07:23 1PlT0a-0004Qt-2a == 9152271659@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo 2011-02-04 23:07:23 1PlT0a-0004Qx-3c == 9152271660@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo 2011-02-04 23:07:23 1PlT0a-0004RH-9e == 9152271665@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo 2011-02-04 23:07:23 1PlT0a-0004R9-7X == 9152271663@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo i tak bez przerwy. Zmienia sie tylko to co jest przed @. Z tego co wnioskuje na razie jakis skrypt propbuje wyczaic na razie numery, ale pewnie za moment wezmie sie za kolejne nazwy. Jak kompletnie z NND wyciac od strony internetu odpowiedniego hosta ? Znaczy jak go kompletnie zablokowac ? Skoczylo mi averange na serwerze i zuzycie procesora co mnie martwi ... Na dluzsza mete moze to byc nie zdrowe Glownie obciazenie generuje exim. |
Autor: | Maciek [ sobota, 5 lutego 2011, 18:35 ] |
Tytuł: | |
To TWÓJ serwer usiłuje wysłać coś w świat i jakiś zdalny serwer nie przyjmuje. Masz kolejne włamanie albo spamera w sieci. |
Autor: | CyberDuck [ sobota, 5 lutego 2011, 19:45 ] |
Tytuł: | |
No dobra to co kolejno zrobic w tej sytuacji ? Na razie wylaczylem exima, ale jak go tylko wlacze to generuje mi kupe wpisow do log i wzrasta obiazenie na procesorze. Przejrzalem wszystkie katalogi, ale jakos nie zauwazylem czegos podejrzanego ... |
Autor: | Maciek [ sobota, 5 lutego 2011, 20:35 ] |
Tytuł: | |
W /var/spool/exim/input masz niewysłane przesyłki i w /var/spool/exim/msglog masz logi niewysłanych przesyłek. Jak poprzeglądasz to zobaczysz czy: - wysyłki pochodzą z user@obcy serwer na user@innyobcyserwer - wysyłki pochodzą z user@twojserwer na user@obcyserwer W pierwszym wypadku możesz mieć włamanie i ktoś z localhosta wysyła przez np. php lub przez funkcję mail systemu. Możesz też mieć open relay przez jakieś zmiany w konfiguracji, które zresztą też mogły nastąpić w wyniku włamania, ale niekoniecznie. W drugim przypadku twój user jest spamerem, ma zawirusowany komp, lub ktoś włamał się na jego skrzynkę pocztową metodą brutal force. Ostatnio sporo było ataków na pop3, więc bym tego nie wykluczał. |
Autor: | CyberDuck [ niedziela, 6 lutego 2011, 02:16 ] |
Tytuł: | |
Mam tak : 1. w katalogu /var/spool/exim/msglog od groma logow i w kazdym jest tak : 2011-02-04 22:17:11 Received from nobody@domena.pl U=nobody P=local S=443 2011-02-04 22:17:11 9152273298@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host 2011-02-04 22:17:11 Received from nobody@domena.pl U=nobody P=local S=443 2011-02-04 22:17:11 9152273297@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host 2. w /var/spool/exim/input mam : 1PlSza-0002mS-0R-H nobody 99 98 <nobody@domena.pl> 1296854098 0 -ident nobody -received_protocol local -body_linecount 3 -max_received_linelength 68 -auth_id nobody -auth_sender nobody@domena.pl -allow_unqualified_recipient -allow_unqualified_sender -local XX 1 9152270269@cingularme.com 159P Received: from nobody by bluelan.eu (Windows Mail SMTP) with local id 1PlSza-0002mS-0R for <9152270269@cingularme.com>; Fri, 04 Feb 2011 22:14:58 +0100 038 Date: Fri, 04 Feb 2011 22:14:58 +0100 043I Message-Id: <E1PlSza-0002mS-0R@bluelan.eu> 030T To: 9152270269@cingularme.com 019 Subject: gecu 2011 024F From: hi<gecu@mail.com> 024 Content-Type: text/html 034S Sender: nobody <nobody@domena.pl> 1PlSza-0002mW-3F-D Hello. My name is Angela Smith from GECU . Please call 253-753-1273. Jak na razie skasowalem wszystkie przesylki i logi i po starcie exim jakby sie uspokoilo ... |
Autor: | Maciek [ niedziela, 6 lutego 2011, 13:54 ] |
Tytuł: | |
Zakładam, ze to nobody@domena.pl to jest nobody z twojej domeny. Zatem ktoś wykorzystuje funkcję mail w php zapewne. 1. User jakiś zrobił sobie mechanizm do spamowania w php. 2. Włamywacz zrobił sobie mechanizm do spamowania przez php. 3. Ktoś wykorzystuje twój własny dziurawy i niezabezpieczony formularz mailowy. |
Autor: | CyberDuck [ niedziela, 6 lutego 2011, 20:58 ] |
Tytuł: | |
AD ... Cytowalem logi dokladnie bez zmieniania ich tresci wiec moge sie jedynie domyslac, ze jesli ktos probuje cos takiego zrobic to robi to nieudolnie, znaczy pod tym wzgledem, ze nie przypilnowal wszystkiego do konca i nie zmienil domena.pl na taka jaka mam Nobody z mojej domeny jest inne ... AD1 calkiem mozliwe. Jak na razie nie znalazlem, ale jak znajde to urwe najpierw lewe a pozniej prawe jajko AD2 tez mozliwe, ale tez nie znalazlem. Chociaz te mozliwosc raczej odrzucam AD3 to jest najmniej prawdopodobne, ale biore to tez pod uwage |
Strona 1 z 1 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |