PDA

Bekijk Volledige Versie : Bedreigingen via e-mail niet te traceren;



M Herrmann
18/01/06, 01:10
Beste allemaal,

Vorige week ontving ik een telefoontje van een klant die al meerdere keren "dreig e-mail" had ontvangen. De eerste twee mailtjes had ze ontvangen via een server die niet te kopellen was aan Survix Webhosting.

Helaas heeft de "dader" de laatste vier emailtjes wel via de server van Survix Webhosting verzonden.
Op de server staat psa v7.5.4_build75051209.14 os_FedoraCore 1
Via Webmin heb ik de van alle vier de mailtjes de regel kunnen traceren. (dat het werkelijk verzonden is)


Hieronder de informatie van de laatste e-mail:
Jan 17 11:24:59 ns1 qmail: 1137493499.697825 starting delivery 5618: msg 16777372 to remote E-MAILADRES VERWIJDERD IVM PRIVACY

Jan 17 11:23:47 ns1 qmail: 1137493427.414167 starting delivery 5612: msg 16777372 to remote postmaster at ns1.survix.nl
Jan 17 11:24:14 ns1 qmail: 1137493454.920882 info msg 16777372: bytes 693 from <anonymous at ns1.survix.nl> qp 23990 uid 48
Jan 17 11:24:59 ns1 qmail: 1137493499.672543 info msg 16777372: bytes 929 from <anonymous at ns1.survix.nl> qp 24080 uid 48
Jan 17 11:29:37 ns1 qmail: 1137493777.699490 starting delivery 5627: msg 16777437 to remote postmaster at ns1.survix.nl


Om eerlijk te zijn kom ik niet verder dan deze informatie.
Wel ben ik er zeker van dat het geen klant is, aangezien ik de emailtjes naast elkaar heb gezet en de access_log tijden van de klanten heb doorgenomen. Waarscheinlijk zullen de emailtjes verzonden worden via een php script van een klant die niet waterdicht is, echter is het onbegonnen werk om 300 websites te controleren op de scripting.

Heeft iemand enig idee hoe ik dit probleem het beste kan aanpakken?
Welke logfiles zou ik eventueel kunnen doorlopen of zijn er nog andere manieren om de "dader" te kunnen traceren.

Alvast bedankt!

DutchTSE
18/01/06, 01:41
weet je zeker dat je mailserver geen (open) relay is, en hierdoor de mail wordt verstuurd?

maxnet
18/01/06, 02:19
Origineel geplaatst door M Herrmann
Waarscheinlijk zullen de emailtjes verzonden worden via een php script van een klant die niet waterdicht is,

In dat geval zou je als je het exacte tijdstip van versturen met Apache's access_log vergelijkt bij het gebruikte PHP script uit moeten komen.

wonko
18/01/06, 09:30
Kijk ook even in de headers van de mail in kwestie, daar zie je welke hosts allemaal doorlopen werden.

Met Qmail heb ik niet de grootste ervaring, maar het lijkt me toch dat je moet kunnen achterhalen in je logs hoe dit bericht in je mailqueue kwam (local, smtp,...)

DiedX
18/01/06, 11:22
Tot nu toe wijst alles op een PHP-script. De server is in ieder geval geen open relay.