Likes Likes:  0
Resultaten 1 tot 15 van de 19
Pagina 1 van de 2 1 2 LaatsteLaatste
Geen

Onderwerp: Mailbomb

  1. #1
    Mailbomb
    geregistreerd gebruiker
    327 Berichten
    Ingeschreven
    20/07/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nvt
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter

    Mailbomb

    Een klant van ons krijg in zijn mailbox duizenden mailtjes en het blijft maar doorgaan...

    Stukje exim mainlog

    2006-07-07 13:25:50 1FxzoF-0002Po-CM == papa_jack@zipmail.com.br R=lookuphost T=remote_smtp defer (-44): SMTP error from remote mailer after RCPT TO:<papa_jack@zipmail.com.br>: host smtp.zipmail.com.br [200.221.11.147]: 450 Client host rejected: cannot find your hostname, [85.92.xxx.xx]
    2006-07-07 13:25:50 1FyoT0-0000Kh-5n <= <> R=1FxzoF-0002Po-CM U=mail P=local S=1397 T="Warning: message 1FxzoF-0002Po-CM delayed 48 hours" from <> for [emailadresklant]
    2006-07-07 13:25:50 1FyoT0-0000Kh-5n => [directadminuser] [emailadresklant] F=<> R=localuser T=local_delivery S=1544
    2006-07-07 13:25:50 1FyoT0-0000Kh-5n Completed
    Voorbeeld van zo'n mailtje

    Subject: Warning: message 1Fy0yP-0006us-RR delayed 48 hours
    From: "Mail Delivery System" <Mailer-Daemon@server1.hostname.com>
    Date: Fri, July 7, 2006 1:21 pm
    To: [emailadres van de klant]
    Priority: Normal
    Options: View Full Header | View Printable Version




    This message was created automatically by mail delivery software.
    A message that you sent has not yet been delivered to one or more of its
    recipients after more than 48 hours on the queue on server1.htepdns.com.

    The message identifier is: 1Fy0yP-0006us-RR
    The subject of the message is: Indica??o de M?sica - R?dio Terra
    The date of the message is: Wed, 05 Jul 2006 08:34:57 +0200

    The address to which the message has not yet been delivered is:

    pirez1@trendnet.com.br
    Delay reason: Remote host trendnet.com.br [200.155.26.12] closed connection in
    response to initial connection

    No action is required on your part. Delivery attempts will continue for
    some time, and this warning may be repeated at intervals if the message
    remains undelivered. Eventually the mail delivery software will give up,
    and when that happens, the message will be returned to you.
    Afzender is steeds 'Mail Delivery System'. Is het zo dat iemand mailtjes verstuurd via het email adres van onze klant welke vervolgens niet aankomen?

    Please advise!

    Bij voorbaat dank

  2. #2
    Mailbomb
    Netwerk prutser
    457 Berichten
    Ingeschreven
    11/08/05

    Locatie
    Brabant

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Citaat Oorspronkelijk geplaatst door cwf
    Een klant van ons krijg in zijn mailbox duizenden mailtjes en het blijft maar doorgaan...

    Stukje exim mainlog



    Voorbeeld van zo'n mailtje



    Afzender is steeds 'Mail Delivery System'. Is het zo dat iemand mailtjes verstuurd via het email adres van onze klant welke vervolgens niet aankomen?

    Please advise!

    Bij voorbaat dank

    Iemand die aan het spammen is bijvoorbeeld. Als alle mailtjes van dezelfde SMTP server afkomen -> blocken en/of abuse mailen.

  3. #3
    Mailbomb
    geregistreerd gebruiker
    327 Berichten
    Ingeschreven
    20/07/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nvt
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Rob77
    Iemand die aan het spammen is bijvoorbeeld. Als alle mailtjes van dezelfde SMTP server afkomen -> blocken en/of abuse mailen.
    Helaas allemaal afkomst van een andere SMTP server...

    Overigens lijkt mijn Spamassassin ook niet goed te werken :S

    Hoor het graag als iemand mij wilt helpen [evt tegen vergoeding].
    Laatst gewijzigd door cwf; 07/07/06 om 15:02. Reden: Automerged Doublepost

  4. #4
    Mailbomb
    geregistreerd gebruiker
    1.140 Berichten
    Ingeschreven
    23/09/05

    Locatie
    Alkmaar

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    29 Berichten zijn liked


    Naam: Paul Beers
    URL: www.eweka.nl
    Registrar SIDN: Ja
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Lijkt mij dat iemand loopt te spammen met afzenderadres het email adres van jouw klant. Lijkt me vrij weinig aan te doen

  5. #5
    Mailbomb
    Geregistreerd Gebruiker
    4.754 Berichten
    Ingeschreven
    23/04/05

    Locatie
    Eindhoven

    Post Thanks / Like
    Mentioned
    15 Post(s)
    Tagged
    0 Thread(s)
    353 Berichten zijn liked


    Naam: Toin Bloo
    Bedrijf: Dommel Hosting
    URL: www.dommelhosting.nl
    ISPConnect: Lid
    KvK nummer: 17177247

    ook al een paar keer gehad. kun je "oplossen" door exim filters in te stellen die het meteen weg gooien.

  6. #6
    Mailbomb
    geregistreerd gebruiker
    327 Berichten
    Ingeschreven
    20/07/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nvt
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door t.bloo
    ook al een paar keer gehad. kun je "oplossen" door exim filters in te stellen die het meteen weg gooien.
    Zou je mss even kunnen helpen?

    PB me even als je bereid bent om te helpen.

  7. #7
    Mailbomb
    Cloud en Datacenters
    1.442 Berichten
    Ingeschreven
    11/06/05

    Locatie
    Zoetermeer

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    10 Berichten zijn liked


    Bedrijf: Technotop Internet BV
    URL: www.technotop.nl
    Registrar SIDN: nee
    ISPConnect: JA
    KvK nummer: 55349323
    Ondernemingsnummer: nvt

    Citaat Oorspronkelijk geplaatst door cwf
    Zou je mss even kunnen helpen?

    PB me even als je bereid bent om te helpen.
    Gooi eerst je input folder eens leeg.. /var/spool/exim/input/ daarna even opjacht naar de website die het veroorzaakt. Afsluiten, exim instellen input folder weer even legen en done =)
    Technotop Internet BV - Sinds 2005 gespecialiseerd in cloud en datacentra.

  8. #8
    Mailbomb
    geregistreerd gebruiker
    327 Berichten
    Ingeschreven
    20/07/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nvt
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Technotop
    Gooi eerst je input folder eens leeg.. /var/spool/exim/input/ daarna even opjacht naar de website die het veroorzaakt. Afsluiten, exim instellen input folder weer even legen en done =)
    Hoe/wat moet ik bij exim instellen???

    Dankjewel!

  9. #9
    Mailbomb
    Cloud en Datacenters
    1.442 Berichten
    Ingeschreven
    11/06/05

    Locatie
    Zoetermeer

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    10 Berichten zijn liked


    Bedrijf: Technotop Internet BV
    URL: www.technotop.nl
    Registrar SIDN: nee
    ISPConnect: JA
    KvK nummer: 55349323
    Ondernemingsnummer: nvt

    Citaat Oorspronkelijk geplaatst door cwf
    Hoe/wat moet ik bij exim instellen???

    Dankjewel!
    Even Googlen, kom je er dan niet uit dan zal ik voor je kijken.
    Technotop Internet BV - Sinds 2005 gespecialiseerd in cloud en datacentra.

  10. #10
    Mailbomb
    geregistreerd gebruiker
    6 Berichten
    Ingeschreven
    07/07/06

    Locatie
    xxx

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: xxx
    KvK nummer: xxx
    Ondernemingsnummer: xxx

    hebt u het hulpmiddel geprobeerd van de postbescherming dat op cpanel?

  11. #11
    Mailbomb
    geregistreerd gebruiker
    327 Berichten
    Ingeschreven
    20/07/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nvt
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Technotop
    Even Googlen, kom je er dan niet uit dan zal ik voor je kijken.
    Vind veel op Google, maar weet niet precies welke info ik moet gebruiken. Hoor het graag van je.

    Bedankt

    Citaat Oorspronkelijk geplaatst door XtraManaged.com
    hebt u het hulpmiddel geprobeerd van de postbescherming dat op cpanel?
    Ik draai DirectAdmin
    Laatst gewijzigd door cwf; 07/07/06 om 16:27. Reden: Automerged Doublepost

  12. #12
    Mailbomb
    Banned
    2.081 Berichten
    Ingeschreven
    11/07/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: ja
    KvK nummer: 24350017
    Ondernemingsnummer: nvt

    Als ik jouw was zou ik ook eens controleren of je niet alleen mail delivery mails ontvangt maar of er wellicht ook spam mails uitgaan!
    Dit verklaart alle 'Mail Delivery System' meldingen!

    Controleer de mail in de queue
    exim -bpc en exim -bp
    Indien de laatse commando je een oneindige lijstgeeft dan is de kans zeer groot dat er spam mail vanaf jouw server wordt gestuurd.
    verwijder alle berichten in queue:
    exim -bpru | awk {'print $3'} | xargs exim -Mrm
    Of:
    /var/spool/exim/input legen!

    mail adres waar de mail op binnenkomt verwijderen zodat deze in een blackhole terecht komen.



  13. #13
    Mailbomb
    geregistreerd gebruiker
    0 Berichten
    Ingeschreven
    23/04/03

    Locatie
    Spijkenisse

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: 24349969
    Ondernemingsnummer: nvt

    Ik heb gister precies het zelfde gehad...

    Dit betreft (waarschijnlijk) een Connect Back Shell, deze script genereert nep e-mails, welke (uiteraard) gebounced worden, vandaar dat ze van je eigen systeem komen (duh..)

    Kijk in je access_log daar kun je vinden waar, hoe en welke script is ingebracht.. Bij mij was het een (oude) phpnuke overigens met sentinal...

    Draait overigens het e.e.a. onder apache, pain in the asssss om hem er weer netjes uit te krijgen...
    Laatst gewijzigd door Albert; 07/07/06 om 20:22.

  14. #14
    Mailbomb
    geregistreerd gebruiker
    327 Berichten
    Ingeschreven
    20/07/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nvt
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Dank voor jullie reacties. Bleken inderdaad mails van onze server te zijn welke door een scriptlek van een klant werden verstuurd.

    Verholpen door het installeren van mod_security en /input leeg gemaakt

  15. #15
    Mailbomb
    geregistreerd gebruiker
    0 Berichten
    Ingeschreven
    23/04/03

    Locatie
    Spijkenisse

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: 24349969
    Ondernemingsnummer: nvt

    Kan me weinig voorstellen dat het verholpen is met het (achteraf) installeren van mod security...

    In de betreffede script komt ook de do_brk vma exploit voor zou alles goed na lopen (op rootkits e.d.)

    Tijd voor....

Pagina 1 van de 2 1 2 LaatsteLaatste

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics