M Herrmann
18/01/06, 01:10
Beste allemaal,
Vorige week ontving ik een telefoontje van een klant die al meerdere keren "dreig e-mail" had ontvangen. De eerste twee mailtjes had ze ontvangen via een server die niet te kopellen was aan Survix Webhosting.
Helaas heeft de "dader" de laatste vier emailtjes wel via de server van Survix Webhosting verzonden.
Op de server staat psa v7.5.4_build75051209.14 os_FedoraCore 1
Via Webmin heb ik de van alle vier de mailtjes de regel kunnen traceren. (dat het werkelijk verzonden is)
Hieronder de informatie van de laatste e-mail:
Jan 17 11:24:59 ns1 qmail: 1137493499.697825 starting delivery 5618: msg 16777372 to remote E-MAILADRES VERWIJDERD IVM PRIVACY
Jan 17 11:23:47 ns1 qmail: 1137493427.414167 starting delivery 5612: msg 16777372 to remote postmaster at ns1.survix.nl
Jan 17 11:24:14 ns1 qmail: 1137493454.920882 info msg 16777372: bytes 693 from <anonymous at ns1.survix.nl> qp 23990 uid 48
Jan 17 11:24:59 ns1 qmail: 1137493499.672543 info msg 16777372: bytes 929 from <anonymous at ns1.survix.nl> qp 24080 uid 48
Jan 17 11:29:37 ns1 qmail: 1137493777.699490 starting delivery 5627: msg 16777437 to remote postmaster at ns1.survix.nl
Om eerlijk te zijn kom ik niet verder dan deze informatie.
Wel ben ik er zeker van dat het geen klant is, aangezien ik de emailtjes naast elkaar heb gezet en de access_log tijden van de klanten heb doorgenomen. Waarscheinlijk zullen de emailtjes verzonden worden via een php script van een klant die niet waterdicht is, echter is het onbegonnen werk om 300 websites te controleren op de scripting.
Heeft iemand enig idee hoe ik dit probleem het beste kan aanpakken?
Welke logfiles zou ik eventueel kunnen doorlopen of zijn er nog andere manieren om de "dader" te kunnen traceren.
Alvast bedankt!
Vorige week ontving ik een telefoontje van een klant die al meerdere keren "dreig e-mail" had ontvangen. De eerste twee mailtjes had ze ontvangen via een server die niet te kopellen was aan Survix Webhosting.
Helaas heeft de "dader" de laatste vier emailtjes wel via de server van Survix Webhosting verzonden.
Op de server staat psa v7.5.4_build75051209.14 os_FedoraCore 1
Via Webmin heb ik de van alle vier de mailtjes de regel kunnen traceren. (dat het werkelijk verzonden is)
Hieronder de informatie van de laatste e-mail:
Jan 17 11:24:59 ns1 qmail: 1137493499.697825 starting delivery 5618: msg 16777372 to remote E-MAILADRES VERWIJDERD IVM PRIVACY
Jan 17 11:23:47 ns1 qmail: 1137493427.414167 starting delivery 5612: msg 16777372 to remote postmaster at ns1.survix.nl
Jan 17 11:24:14 ns1 qmail: 1137493454.920882 info msg 16777372: bytes 693 from <anonymous at ns1.survix.nl> qp 23990 uid 48
Jan 17 11:24:59 ns1 qmail: 1137493499.672543 info msg 16777372: bytes 929 from <anonymous at ns1.survix.nl> qp 24080 uid 48
Jan 17 11:29:37 ns1 qmail: 1137493777.699490 starting delivery 5627: msg 16777437 to remote postmaster at ns1.survix.nl
Om eerlijk te zijn kom ik niet verder dan deze informatie.
Wel ben ik er zeker van dat het geen klant is, aangezien ik de emailtjes naast elkaar heb gezet en de access_log tijden van de klanten heb doorgenomen. Waarscheinlijk zullen de emailtjes verzonden worden via een php script van een klant die niet waterdicht is, echter is het onbegonnen werk om 300 websites te controleren op de scripting.
Heeft iemand enig idee hoe ik dit probleem het beste kan aanpakken?
Welke logfiles zou ik eventueel kunnen doorlopen of zijn er nog andere manieren om de "dader" te kunnen traceren.
Alvast bedankt!