PDA

Bekijk Volledige Versie : Rare qmail logins, Hacker?



bobclaassen
24/04/07, 15:21
Hallo,

Op mijn plesk vps tijdens zie ik soms rare qmail loginnamen.
Mail adressen die niet van mij zijn. Zover ik heb gelezen moet ik ook in de root alleen mijn eigen processen zien, zoniet blijven het nog heel erg verdachte mail adressen.
ps -aux toont regelmatig een qmail login van domein die ik niet host:

qmailr 24250 0.0 0.0 4448 964 ? S 16:15 0:00 qmail-remote greenenaturalfibers.com holman at greenenaturalfibers.com

qmailr 11442 0.0 0.0 4768 964 ? S 13:08 0:00 qmail-remote cashcrazymails.com guysville10 at cashcrazymails.com
qmailr 28428 0.0 0.0 4528 964 ? S 14:31 0:00 qmail-remote my169.com lnetawaka at my169.com

Is dit een hacker of meerdere hackers of iets anders
Plesk vps root, flexservers.
Alvast bedankt.

Ryan Kalkhoven
24/04/07, 15:54
Dit kan simpelweg spam zijn welke binnenkomt maar het kan ook uitegaand zijn.
Wat is je load op deze server en hoeveel neemt qmail in beslag en hoeveel zaken als apache en perl etc?

DiedX
02/05/07, 23:29
Dit is in ieder geval uitgaande mail. Ik denk dat je een lek script hebt. Het zal wrsch al opgelost zijn, want hij reageerd al een tijdje niet meer :)

bobclaassen
03/05/07, 12:36
Dit is in ieder geval uitgaande mail. Ik denk dat je een lek script hebt. Het zal wrsch al opgelost zijn, want hij reageerd al een tijdje niet meer :)

Nee, helaas is het nog niet opgelost.
Een lek script zou het inderdaad goed kunnen zijn.
Maar hoe kom je er achter welke klant een lek script heeft :(

DiedX
03/05/07, 13:16
begin maar te zoeken in /tmp en /var/tmp. Wrsch zie je daar .-directories (verborgen).

Helaas is dit een van de knuddeklussen. Veel succes ermee!

Ryan Kalkhoven
03/05/07, 13:32
Doe eens een: netstat -anp|grep 6667

bobclaassen
03/05/07, 15:54
begin maar te zoeken in /tmp en /var/tmp. Wrsch zie je daar .-directories (verborgen).

Helaas is dit een van de knuddeklussen. Veel succes ermee!

Alleen "spamd_full.sock spamd_light.sock" gevonden, niets vreemds dus


Doe eens een: netstat -anp|grep 6667
Dit ga ik proberen zodra ik weer een vreemde qmail login zie, ben benieuwd

Ryan Kalkhoven
03/05/07, 15:57
Kun je direct al doen. Daarvoor hoef je niet te wachten tot je wat vreemds ziet.

blackberry
03/05/07, 16:40
Probeer deze tutorial eens, zo kun je het opsporen (als het via HTTP gaat)
http://www.webhostgear.com/232_print.html

W3SERVE
03/05/07, 22:08
Is dit niet een beetje het verkeerde subforum?

bobclaassen
04/05/07, 15:39
Kun je direct al doen. Daarvoor hoef je niet te wachten tot je wat vreemds ziet.
Geeft nu niets veel bijzonders volgens mij:
unix 10 [ ] DGRAM 14481 /dev/log
unix 2 [ ACC ] STREAM LISTENING 373742512 /etc/httpd/run/fpcgisock
unix 2 [ ACC ] STREAM LISTENING 31026 /var/run/saslauthd/mux
unix 2 [ ACC ] STREAM LISTENING 16850 /var/lib/mysql/mysql.sock
unix 2 [ ACC ] STREAM LISTENING 1131866508 /tmp/spamd_full.sock
unix 2 [ ACC ] STREAM LISTENING 1131866532 /tmp/spamd_light.sock
unix 3 [ ] STREAM CONNECTED 424227477 /var/lib/mysql/mysql.sock
unix 3 [ ] STREAM CONNECTED 424227441
unix 3 [ ] STREAM CONNECTED 423384386 /var/lib/mysql/mysql.sock
etc..
unix 3 [ ] STREAM CONNECTED 374165884
unix 2 [ ] DGRAM 372075599
unix 2 [ ] DGRAM 1131864944
unix 2 [ ] DGRAM 1131864907
unix 2 [ ] DGRAM 1131624209
unix 2 [ ] DGRAM 31025
unix 2 [ ] DGRAM 30923
unix 2 [ ] DGRAM 22309
unix 2 [ ] DGRAM 15083



Probeer deze tutorial eens, zo kun je het opsporen (als het via HTTP gaat)


Dit ga ik na het weekend probleren


Is dit niet een beetje het verkeerde subforum?
IDD, in het begin was de vraag of dat de processen van andere gebruikers op de vps konden zijn. Dit is echter niet zo. Dus een Techniek & Beveiliging topic.

mxcreep
05/05/07, 20:00
Kans is aanwezig dat het om een formuliertje op een website gaat.
Veel lui die mail formuliertjes klussen checken de inkomende variabelen uit GET en POST niet voldoende waardoor het mogelijk is rommel in het header deel van de mail te krijgen. Dit soort lekke formulieren worden regelmatig door botjes misbruikt. Het kan nogal een rotklus zijn om dit terug te vinden.