spam, spamcop - udnyttes jeg som spam afsender?

Der er kommet ny virus på market der sender mails rundt omkring i Europa.
Det kaldes spammails.

Updater dit styresystem og lav en ad-aware
HF med det:)

>>dragox Hmmm, AD-Aware på en linux maskine.... det går vist ikke...

>>jma73
Du siger der er lukket for alt i din fw. Men hvad med SMTP, er der åben eller lukket for den?

Logger du evt noget i fw'en, kan du evt sætte den til at logge alt ind og udgående SMTP trafik? - så kan du jo se hvad der sker...

Ellers må du rundt på de enkelte server, prøv at check i dine logfiler qmail lægger noget i /var/log/mail.info, eller nogle af de andre mail.* filer. Jeg ved ikke hvor procmail eller sendmail lægger....
Det kan også være et script du har på en webserver eller lignende... Fx gode gamle formmail.pl, den har et par gange vist sig at kunne bruges til at sende spam...

Spamcop er mig bekendt gode nok, har hørt dem nævnt ofte...

Hov, så lige at du skrev det var en anden IP, kan det være en eller anden testmaskine udenfor firewallen der er blevet ramt?
Eller har I wlan stående udenfor firewall'en (det har jeg af sikkerhedshensyn) så kan det være den som er ramt...

Prøv evt om du selv kan sende spam via den nævnte ip..
Prøv at skrive nedenstående i en dos-prompt...

<ip> er din servers ip, navn@domæne.dk er en afsender email, og navn@domæne2.dk er en modtager email for din test.
Begge skal være i et andet domæne end din server for ellers skal den jo tage imod den. Men hvis du bruger en fx hotmail adresse skulle din server meget gerne efter "rcpt to" brokke sig over at den ikke vil sende din mail videre... Fx siger min qmail :
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)

PS ofte kan du ikke se hvad du taster når du snakker med serveren.... Bare skriv videre det er helt ok...

--------- START--------------------
telnet <ip> 25
helo ib.dk
mail from:navn@domæne.dk
rcpt to:navn@domæne2.dk
data
ib
.

quit
--------- SLUT på mailsending --------------------

>>wise - tak for tips - så har jeg noget at gå videre med.
Ja - der er lukket for SMTP. Men jeg tror du har ret i at jeg bør kigge på sendmail, som jeg mener kører på en del servere. Spørgsmålet er bare hvor jeg kan se hvad der bliver sendt derfra.

Mht. til hvilken ip der vises: så har jeg(=min arbejdsplads!) 16 ip-adresser. Men jeg mener at det kun er den ene (plus 2-3 andre (men ikke det nummer)) som der kan "tilgåes" - men her må jeg nok erkende at jeg ikke ved helt hvordan det styres...

Firewallen er en dedikeret maskine, med iptables.

Fandt lige denne på google, den er lidt gammel men kan måske give et nemt overblik, og så er den ret simpel at køre..
http://www.reedmedia.net/software/sendmail_stats/

Eller denne, men der skal du installere en RPM og nogle andre ting, den første er bare et script...
http://www.klake.org/sma/

De burde ligge i /var/log/mail.log

Jeg har kigget diverse steder og fandt nedenstående i loggen for webserveren (Apache). Jeg tolker det i retning af at vedkommende sender spam via hotmail, og lader det gå gennem den pågældende server. (Denne konklusion bygger jeg dog mest på min sunde fornuft og har ikke noget egentlig teoretisk bevis...)

Sikkert er det dog at det en udefra som bruger webserveren, da maskinen ikke bruges til webbrowsing af nogen her.
Jeg har foreløbig stoppet webserveren.

Muligvis så er synderen her:
<klip>
66.17.151.55 - - [16/Apr/2004:03:32:03 +0000] "GET http://www.hotmail.com/ HTTP/1.0" 302 236
66.17.151.55 - - [16/Apr/2004:03:33:39 +0000] "GET http://www.hotmail.msn.com/cgi-bin/sbox?did=1&t=5BChXWNoBDu04cy5w!y0UwjPBiQONtgVE2RalNy*bz!CH*!iCmbClISvhTTT7lLcfkZKHij4sagnxEFDmBlz7Bfg$$&p=5x!1FqWuyDNHmpUHFTD1l4vXPOsJaA3QYbeea3kVVvJLBsTotoZbG9Q0!YWzjJWSBHS821I1dMDyWL5n4g4j5eaBHUXNUozuNHt4kFqV25Nuvq9oe*tCYBG2dvmyR0Gy3swHXZvjPmp7Ozkump6GL9WRfKMYf4nkhoWidYm2cLaqdvjaQ3!fAQwe*RYdHFDVpFvp99B5hnMnV5Xl4vwpjGEA$$ HTTP/1.0" 302 0
66.17.151.55 - - [16/Apr/2004:03:34:09 +0000] "POST http://by13fd.bay13.hotmail.msn.com/cgi-bin/premail/6118 HTTP/1.0" 200 29378
66.17.151.55 - - [16/Apr/2004:03:34:48 +0000] "POST http://by13fd.bay13.hotmail.msn.com/cgi-bin/premail/4206 HTTP/1.0" 200 29430
66.17.151.55 - - [16/Apr/2004:03:34:55 +0000] "GET http://www.hotmail.com/ HTTP/1.0" 302 236
66.17.151.55 - - [16/Apr/2004:03:36:12 +0000] "GET http://www.hotmail.msn.com/cgi-bin/sbox?did=1&t=5MmP7uaqsDaOWZAuAQhcCEIV5F6hQ3YSajXi3855PGbLUnh1anHj!0*pDAckMfKKgF1jUBH2kB!UNLAxlzjPnHTw$$&p=5z6waevvYFpBqnZ9fd!GL1Dow23bks5jnWNbx!plrf!Mb4jp3UBshCYmVFSOZaRFUl6pxDXal*cLLYkzlMXU7B7MA40!M6a1oFHOvjTkRsYgTIlCKKIFfGvQgheZUUiCV7N!TWRHKRt4U3bioA8VZYJwsNllldPQZFPu0dETMPwiDzQ4I!B4NFcS4pEdhWdZomJ!uZjnaJs6wZfAqbSe!I1A$$ HTTP/1.0" 302 0
66.17.151.55 - - [16/Apr/2004:03:36:49 +0000] "POST http://by12fd.bay12.hotmail.msn.com/cgi-bin/premail/7281 HTTP/1.0" 200 29579
66.17.151.55 - - [16/Apr/2004:03:37:04 +0000] "POST http://by12fd.bay12.hotmail.msn.com/cgi-bin/premail/2355 HTTP/1.0" 200 32326
66.17.151.55 - - [16/Apr/2004:03:37:29 +0000] "POST http://by12fd.bay12.hotmail.msn.com/cgi-bin/premail/3302 HTTP/1.0" 200 29516
66.17.151.55 - - [16/Apr/2004:03:37:43 +0000] "GET http://www.hotmail.com/ HTTP/1.0" 302 236
</klip>

Hmmm, det tror jeg du har ret i...
http://www.searchengineworld.com/validator/httperrorcodes.htm
Errorcode 200 er ok, 302 er redirected... så det han har prøvet på med hotmail.com er lykkedes!..
Skummelt, for så er det jo slet ikke smtp trafik ud fra dig, men http og den ville jeg sgu ikke have tænkt på at kigge efter...

Jeg tror ikke han kan sende hotmail mails gennem din server, men han bruger din webserver som proxy så det er din IP som bliver logget inde i headeret på mailen.

Prøv at søge din httpd.conf fil igennem for ordet Proxy evt ProxyPass. Er det en gammel apache? eller bruges den evt som proxy for andre webservere eller noget?
Jeg har selv en apache ståeden som er proxy for 2 andre webservere på samme maskine. Der snakkede jeg med en gut der havde fået misbrugt sin apache som proxy for externe fordi han ikke lige havet været helt vågen da han satte det op....

jeg lukker!