Avatar billede jma73 Nybegynder
19. maj 2004 - 16:30 Der er 8 kommentarer og
2 løsninger

spam, spamcop - udnyttes jeg som spam afsender?

Jeg har fået en mail fra min udbyder, hvor det påståes at der sendes spam fra en af mine servere.
Der køres linux Redhat 7.1, 8.0, 9 m.fl. De ligger alle bag en firewall, hvor der som udgangspunkt er lukket for alt og så lukket op for nogle ting, som er:
http og ssh m.fl.

Hvordan kan jeg undersøge om det er fra en af mine servere der sendes spam?

Der er blevet indrapporteret til SpamCop - er de "gode nok" ?

Der er nævnt en IP som rigtig nok er en som jeg har. Dog "plejer" den udgående IP at have et andet nummer (sat op i firewallen).

Håber på at få nogle ledetråde, så jeg kan få sat en stopper for disse spammere!

Jeg er desværre ikke nogen superhaj til netværk og firewall. Har "arvet" systemet.
Avatar billede dragox Nybegynder
19. maj 2004 - 16:36 #1
Der er kommet ny virus på market der sender mails rundt omkring i Europa.
Det kaldes spammails.

Updater dit styresystem og lav en ad-aware
HF med det:)
Avatar billede wise Seniormester
19. maj 2004 - 17:02 #2
>>dragox Hmmm, AD-Aware på en linux maskine.... det går vist ikke...

>>jma73
Du siger der er lukket for alt i din fw. Men hvad med SMTP, er der åben eller lukket for den?

Logger du evt noget i fw'en, kan du evt sætte den til at logge alt ind og udgående SMTP trafik? - så kan du jo se hvad der sker...

Ellers må du rundt på de enkelte server, prøv at check i dine logfiler qmail lægger noget i /var/log/mail.info, eller nogle af de andre mail.* filer. Jeg ved ikke hvor procmail eller sendmail lægger....
Det kan også være et script du har på en webserver eller lignende... Fx gode gamle formmail.pl, den har et par gange vist sig at kunne bruges til at sende spam...

Spamcop er mig bekendt gode nok, har hørt dem nævnt ofte...
Avatar billede wise Seniormester
19. maj 2004 - 17:04 #3
Hov, så lige at du skrev det var en anden IP, kan det være en eller anden testmaskine udenfor firewallen der er blevet ramt?
Eller har I wlan stående udenfor firewall'en (det har jeg af sikkerhedshensyn) så kan det være den som er ramt...
Avatar billede wise Seniormester
19. maj 2004 - 17:19 #4
Prøv evt om du selv kan sende spam via den nævnte ip..
Prøv at skrive nedenstående i en dos-prompt...

<ip> er din servers ip, navn@domæne.dk er en afsender email, og navn@domæne2.dk er en modtager email for din test.
Begge skal være i et andet domæne end din server for ellers skal den jo tage imod den. Men hvis du bruger en fx hotmail adresse skulle din server meget gerne efter "rcpt to" brokke sig over at den ikke vil sende din mail videre... Fx siger min qmail :
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)

PS ofte kan du ikke se hvad du taster når du snakker med serveren.... Bare skriv videre det er helt ok...

--------- START--------------------
telnet <ip> 25
helo ib.dk
mail from:navn@domæne.dk
rcpt to:navn@domæne2.dk
data
ib
.

quit
--------- SLUT på mailsending --------------------
Avatar billede jma73 Nybegynder
19. maj 2004 - 21:21 #5
>>wise - tak for tips - så har jeg noget at gå videre med.
Ja - der er lukket for SMTP. Men jeg tror du har ret i at jeg bør kigge på sendmail, som jeg mener kører på en del servere. Spørgsmålet er bare hvor jeg kan se hvad der bliver sendt derfra.

Mht. til hvilken ip der vises: så har jeg(=min arbejdsplads!) 16 ip-adresser. Men jeg mener at det kun er den ene (plus 2-3 andre (men ikke det nummer)) som der kan "tilgåes" - men her må jeg nok erkende at jeg ikke ved helt hvordan det styres...

Firewallen er en dedikeret maskine, med iptables.
Avatar billede wise Seniormester
19. maj 2004 - 22:00 #6
Fandt lige denne på google, den er lidt gammel men kan måske give et nemt overblik, og så er den ret simpel at køre..
http://www.reedmedia.net/software/sendmail_stats/

Eller denne, men der skal du installere en RPM og nogle andre ting, den første er bare et script...
http://www.klake.org/sma/
Avatar billede wise Seniormester
19. maj 2004 - 22:05 #7
De burde ligge i /var/log/mail.log
Avatar billede jma73 Nybegynder
21. maj 2004 - 10:39 #8
Jeg har kigget diverse steder og fandt nedenstående i loggen for webserveren (Apache). Jeg tolker det i retning af at vedkommende sender spam via hotmail, og lader det gå gennem den pågældende server. (Denne konklusion bygger jeg dog mest på min sunde fornuft og har ikke noget egentlig teoretisk bevis...)

Sikkert er det dog at det en udefra som bruger webserveren, da maskinen ikke bruges til webbrowsing af nogen her.
Jeg har foreløbig stoppet webserveren.

Muligvis så er synderen her:
<klip>
66.17.151.55 - - [16/Apr/2004:03:32:03 +0000] "GET http://www.hotmail.com/ HTTP/1.0" 302 236
66.17.151.55 - - [16/Apr/2004:03:33:39 +0000] "GET http://www.hotmail.msn.com/cgi-bin/sbox?did=1&t=5BChXWNoBDu04cy5w!y0UwjPBiQONtgVE2RalNy*bz!CH*!iCmbClISvhTTT7lLcfkZKHij4sagnxEFDmBlz7Bfg$$&p=5x!1FqWuyDNHmpUHFTD1l4vXPOsJaA3QYbeea3kVVvJLBsTotoZbG9Q0!YWzjJWSBHS821I1dMDyWL5n4g4j5eaBHUXNUozuNHt4kFqV25Nuvq9oe*tCYBG2dvmyR0Gy3swHXZvjPmp7Ozkump6GL9WRfKMYf4nkhoWidYm2cLaqdvjaQ3!fAQwe*RYdHFDVpFvp99B5hnMnV5Xl4vwpjGEA$$ HTTP/1.0" 302 0
66.17.151.55 - - [16/Apr/2004:03:34:09 +0000] "POST http://by13fd.bay13.hotmail.msn.com/cgi-bin/premail/6118 HTTP/1.0" 200 29378
66.17.151.55 - - [16/Apr/2004:03:34:48 +0000] "POST http://by13fd.bay13.hotmail.msn.com/cgi-bin/premail/4206 HTTP/1.0" 200 29430
66.17.151.55 - - [16/Apr/2004:03:34:55 +0000] "GET http://www.hotmail.com/ HTTP/1.0" 302 236
66.17.151.55 - - [16/Apr/2004:03:36:12 +0000] "GET http://www.hotmail.msn.com/cgi-bin/sbox?did=1&t=5MmP7uaqsDaOWZAuAQhcCEIV5F6hQ3YSajXi3855PGbLUnh1anHj!0*pDAckMfKKgF1jUBH2kB!UNLAxlzjPnHTw$$&p=5z6waevvYFpBqnZ9fd!GL1Dow23bks5jnWNbx!plrf!Mb4jp3UBshCYmVFSOZaRFUl6pxDXal*cLLYkzlMXU7B7MA40!M6a1oFHOvjTkRsYgTIlCKKIFfGvQgheZUUiCV7N!TWRHKRt4U3bioA8VZYJwsNllldPQZFPu0dETMPwiDzQ4I!B4NFcS4pEdhWdZomJ!uZjnaJs6wZfAqbSe!I1A$$ HTTP/1.0" 302 0
66.17.151.55 - - [16/Apr/2004:03:36:49 +0000] "POST http://by12fd.bay12.hotmail.msn.com/cgi-bin/premail/7281 HTTP/1.0" 200 29579
66.17.151.55 - - [16/Apr/2004:03:37:04 +0000] "POST http://by12fd.bay12.hotmail.msn.com/cgi-bin/premail/2355 HTTP/1.0" 200 32326
66.17.151.55 - - [16/Apr/2004:03:37:29 +0000] "POST http://by12fd.bay12.hotmail.msn.com/cgi-bin/premail/3302 HTTP/1.0" 200 29516
66.17.151.55 - - [16/Apr/2004:03:37:43 +0000] "GET http://www.hotmail.com/ HTTP/1.0" 302 236
</klip>
Avatar billede wise Seniormester
21. maj 2004 - 11:16 #9
Hmmm, det tror jeg du har ret i...
http://www.searchengineworld.com/validator/httperrorcodes.htm
Errorcode 200 er ok, 302 er redirected... så det han har prøvet på med hotmail.com er lykkedes!..
Skummelt, for så er det jo slet ikke smtp trafik ud fra dig, men http og den ville jeg sgu ikke have tænkt på at kigge efter...

Jeg tror ikke han kan sende hotmail mails gennem din server, men han bruger din webserver som proxy så det er din IP som bliver logget inde i headeret på mailen.

Prøv at søge din httpd.conf fil igennem for ordet Proxy evt ProxyPass. Er det en gammel apache? eller bruges den evt som proxy for andre webservere eller noget?
Jeg har selv en apache ståeden som er proxy for 2 andre webservere på samme maskine. Der snakkede jeg med en gut der havde fået misbrugt sin apache som proxy for externe fordi han ikke lige havet været helt vågen da han satte det op....
Avatar billede jma73 Nybegynder
16. marts 2006 - 15:05 #10
jeg lukker!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester