Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Atak na poczte
http://forum.freesco.pl/viewtopic.php?f=24&t=18493		 Strona 1 z 1
Autor:  CyberDuck [ sobota, 5 lutego 2011, 15:15 ]
Tytuł:  Atak na poczte
Mam atak na exim lub na poczte :
: [/] [] ()
2011-02-04 23:07:23 1PlT0a-0004Qp-1U == 9152271658@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004Ql-0a == 9152271657@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004Qt-2a == 9152271659@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004Qx-3c == 9152271660@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004RH-9e == 9152271665@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
2011-02-04 23:07:23 1PlT0a-0004R9-7X == 9152271663@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached fo
GeSHi © Codebox Plus

i tak bez przerwy. Zmienia sie tylko to co jest przed @.
Z tego co wnioskuje na razie jakis skrypt propbuje wyczaic na razie numery, ale pewnie za moment wezmie sie za kolejne nazwy.
Jak kompletnie z NND wyciac od strony internetu odpowiedniego hosta ?
Znaczy jak go kompletnie zablokowac ?
Skoczylo mi averange na serwerze i zuzycie procesora co mnie martwi ...
Na dluzsza mete moze to byc nie zdrowe :)
Glownie obciazenie generuje exim.
Autor:  Maciek [ sobota, 5 lutego 2011, 18:35 ]
Tytuł: 
To TWÓJ serwer usiłuje wysłać coś w świat i jakiś zdalny serwer nie przyjmuje. Masz kolejne włamanie albo spamera w sieci. :twisted:
Autor:  CyberDuck [ sobota, 5 lutego 2011, 19:45 ]
Tytuł: 
No dobra to co kolejno zrobic w tej sytuacji ?
Na razie wylaczylem exima, ale jak go tylko wlacze to generuje mi kupe wpisow
do log i wzrasta obiazenie na procesorze. Przejrzalem wszystkie katalogi, ale jakos
nie zauwazylem czegos podejrzanego ...
Autor:  Maciek [ sobota, 5 lutego 2011, 20:35 ]
Tytuł: 
W /var/spool/exim/input masz niewysłane przesyłki i w /var/spool/exim/msglog masz logi niewysłanych przesyłek. Jak poprzeglądasz to zobaczysz czy:
- wysyłki pochodzą z user@obcy serwer na user@innyobcyserwer
- wysyłki pochodzą z user@twojserwer na user@obcyserwer

W pierwszym wypadku możesz mieć włamanie i ktoś z localhosta wysyła przez np. php lub przez funkcję mail systemu. Możesz też mieć open relay przez jakieś zmiany w konfiguracji, które zresztą też mogły nastąpić w wyniku włamania, ale niekoniecznie.
W drugim przypadku twój user jest spamerem, ma zawirusowany komp, lub ktoś włamał się na jego skrzynkę pocztową metodą brutal force. Ostatnio sporo było ataków na pop3, więc bym tego nie wykluczał.
Autor:  CyberDuck [ niedziela, 6 lutego 2011, 02:16 ]
Tytuł: 
Mam tak :
1. w katalogu /var/spool/exim/msglog od groma logow i w kazdym jest tak :
: [/] [] ()
2011-02-04 22:17:11 Received from nobody@domena.pl U=nobody P=local S=443
2011-02-04 22:17:11 9152273298@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
GeSHi © Codebox Plus

: [/] [] ()
2011-02-04 22:17:11 Received from nobody@domena.pl U=nobody P=local S=443
2011-02-04 22:17:11 9152273297@cingularme.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
GeSHi © Codebox Plus

2. w /var/spool/exim/input mam :

: [/] [] ()
1PlSza-0002mS-0R-H
nobody 99 98
<nobody@domena.pl>
1296854098 0
-ident nobody
-received_protocol local
-body_linecount 3
-max_received_linelength 68
-auth_id nobody
-auth_sender nobody@domena.pl
-allow_unqualified_recipient
-allow_unqualified_sender
-local
XX
1
9152270269@cingularme.com

159P Received: from nobody  by bluelan.eu (Windows Mail SMTP) with local
          id 1PlSza-0002mS-0R
          for <9152270269@cingularme.com>; Fri, 04 Feb 2011 22:14:58 +0100
038  Date: Fri, 04 Feb 2011 22:14:58 +0100
043I Message-Id: <E1PlSza-0002mS-0R@bluelan.eu>
030T To: 9152270269@cingularme.com
019  Subject: gecu 2011
024F From: hi<gecu@mail.com>
024  Content-Type: text/html
034S Sender: nobody <nobody@domena.pl>
GeSHi © Codebox Plus

: [/] [] ()
1PlSza-0002mW-3F-D

Hello. My name is Angela Smith from GECU . Please call 253-753-1273.
GeSHi © Codebox Plus
Tez bardzo duzo ...
Jak na razie skasowalem wszystkie przesylki i logi i po starcie exim jakby
sie uspokoilo ...
Autor:  Maciek [ niedziela, 6 lutego 2011, 13:54 ]
Tytuł: 
Zakładam, ze to nobody@domena.pl to jest nobody z twojej domeny.
Zatem ktoś wykorzystuje funkcję mail w php zapewne.
1. User jakiś zrobił sobie mechanizm do spamowania w php.
2. Włamywacz zrobił sobie mechanizm do spamowania przez php.
3. Ktoś wykorzystuje twój własny dziurawy i niezabezpieczony formularz mailowy.
Autor:  CyberDuck [ niedziela, 6 lutego 2011, 20:58 ]
Tytuł: 
AD ... Cytowalem logi dokladnie bez zmieniania ich tresci wiec moge sie jedynie domyslac, ze
jesli ktos probuje cos takiego zrobic to robi to nieudolnie, znaczy pod tym wzgledem, ze nie
przypilnowal wszystkiego do konca i nie zmienil domena.pl na taka jaka mam :)
Nobody z mojej domeny jest inne ...

AD1 calkiem mozliwe. Jak na razie nie znalazlem, ale jak znajde to urwe najpierw lewe a pozniej prawe jajko :)
AD2 tez mozliwe, ale tez nie znalazlem. Chociaz te mozliwosc raczej odrzucam
AD3 to jest najmniej prawdopodobne, ale biore to tez pod uwage
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/