Een klant van ons krijg in zijn mailbox duizenden mailtjes en het blijft maar doorgaan...

Stukje exim mainlog



2006-07-07 13:25:50 1FxzoF-0002Po-CM == papa_jack@zipmail.com.br R=lookuphost T=remote_smtp defer (-44): SMTP error from remote mailer after RCPT TO:<papa_jack@zipmail.com.br>: host smtp.zipmail.com.br [200.221.11.147]: 450 Client host rejected: cannot find your hostname, [85.92.xxx.xx]
2006-07-07 13:25:50 1FyoT0-0000Kh-5n <= <> R=1FxzoF-0002Po-CM U=mail P=local S=1397 T="Warning: message 1FxzoF-0002Po-CM delayed 48 hours" from <> for [emailadresklant]
2006-07-07 13:25:50 1FyoT0-0000Kh-5n => [directadminuser] [emailadresklant] F=<> R=localuser T=local_delivery S=1544
2006-07-07 13:25:50 1FyoT0-0000Kh-5n Completed


Voorbeeld van zo'n mailtje



Subject: Warning: message 1Fy0yP-0006us-RR delayed 48 hours
From: "Mail Delivery System" <Mailer-Daemon@server1.hostname.com>
Date: Fri, July 7, 2006 1:21 pm
To: [emailadres van de klant]
Priority: Normal
Options: View Full Header | View Printable Version




This message was created automatically by mail delivery software.
A message that you sent has not yet been delivered to one or more of its
recipients after more than 48 hours on the queue on server1.htepdns.com.

The message identifier is: 1Fy0yP-0006us-RR
The subject of the message is: Indica??o de M?sica - R?dio Terra
The date of the message is: Wed, 05 Jul 2006 08:34:57 +0200

The address to which the message has not yet been delivered is:

pirez1@trendnet.com.br
Delay reason: Remote host trendnet.com.br [200.155.26.12] closed connection in
response to initial connection

No action is required on your part. Delivery attempts will continue for
some time, and this warning may be repeated at intervals if the message
remains undelivered. Eventually the mail delivery software will give up,
and when that happens, the message will be returned to you.


Afzender is steeds 'Mail Delivery System'. Is het zo dat iemand mailtjes verstuurd via het email adres van onze klant welke vervolgens niet aankomen?

Please advise!

Bij voorbaat dank

Een klant van ons krijg in zijn mailbox duizenden mailtjes en het blijft maar doorgaan...

Stukje exim mainlog



Voorbeeld van zo'n mailtje



Afzender is steeds 'Mail Delivery System'. Is het zo dat iemand mailtjes verstuurd via het email adres van onze klant welke vervolgens niet aankomen?

Please advise!

Bij voorbaat dank


Iemand die aan het spammen is bijvoorbeeld. Als alle mailtjes van dezelfde SMTP server afkomen -> blocken en/of abuse mailen.

Iemand die aan het spammen is bijvoorbeeld. Als alle mailtjes van dezelfde SMTP server afkomen -> blocken en/of abuse mailen.

Helaas allemaal afkomst van een andere SMTP server...

Overigens lijkt mijn Spamassassin ook niet goed te werken :S

Hoor het graag als iemand mij wilt helpen [evt tegen vergoeding].

Lijkt mij dat iemand loopt te spammen met afzenderadres het email adres van jouw klant. Lijkt me vrij weinig aan te doen

ook al een paar keer gehad. kun je "oplossen" door exim filters in te stellen die het meteen weg gooien.

ook al een paar keer gehad. kun je "oplossen" door exim filters in te stellen die het meteen weg gooien.

Zou je mss even kunnen helpen?

PB me even als je bereid bent om te helpen.

Zou je mss even kunnen helpen?

PB me even als je bereid bent om te helpen.

Gooi eerst je input folder eens leeg.. /var/spool/exim/input/ daarna even opjacht naar de website die het veroorzaakt. Afsluiten, exim instellen input folder weer even legen en done =)

Gooi eerst je input folder eens leeg.. /var/spool/exim/input/ daarna even opjacht naar de website die het veroorzaakt. Afsluiten, exim instellen input folder weer even legen en done =)

Hoe/wat moet ik bij exim instellen???

Dankjewel!

Hoe/wat moet ik bij exim instellen???

Dankjewel!

Even Googlen, kom je er dan niet uit dan zal ik voor je kijken.

hebt u het hulpmiddel geprobeerd van de postbescherming dat op cpanel?

Even Googlen, kom je er dan niet uit dan zal ik voor je kijken.

Vind veel op Google, maar weet niet precies welke info ik moet gebruiken. Hoor het graag van je.

Bedankt


hebt u het hulpmiddel geprobeerd van de postbescherming dat op cpanel?

Ik draai DirectAdmin :)

Als ik jouw was zou ik ook eens controleren of je niet alleen mail delivery mails ontvangt maar of er wellicht ook spam mails uitgaan!
Dit verklaart alle 'Mail Delivery System' meldingen!

Controleer de mail in de queue
exim -bpc en exim -bp
Indien de laatse commando je een oneindige lijstgeeft dan is de kans zeer groot dat er spam mail vanaf jouw server wordt gestuurd.
verwijder alle berichten in queue:
exim -bpru | awk {'print $3'} | xargs exim -Mrm
Of:
/var/spool/exim/input legen!

mail adres waar de mail op binnenkomt verwijderen zodat deze in een blackhole terecht komen.

Ik heb gister precies het zelfde gehad...

Dit betreft (waarschijnlijk) een Connect Back Shell, deze script genereert nep e-mails, welke (uiteraard) gebounced worden, vandaar dat ze van je eigen systeem komen (duh..)

Kijk in je access_log daar kun je vinden waar, hoe en welke script is ingebracht.. Bij mij was het een (oude) phpnuke overigens met sentinal...

Draait overigens het e.e.a. onder apache, pain in the asssss om hem er weer netjes uit te krijgen...

Dank voor jullie reacties. Bleken inderdaad mails van onze server te zijn welke door een scriptlek van een klant werden verstuurd.

Verholpen door het installeren van mod_security en /input leeg gemaakt ;)

Kan me weinig voorstellen dat het verholpen is met het (achteraf) installeren van mod security...

In de betreffede script komt ook de do_brk vma exploit voor zou alles goed na lopen (op rootkits e.d.)

Tijd voor.... ;)

Erm, ik lees hier allerlei dingen over /var/spool/exim/input legen. Maar volgens mij loop je dan het risico dat je ook legitieme mail wegknikkerd, iets wat je natuurlijk nooit wil doen :)

Erm, ik lees hier allerlei dingen over /var/spool/exim/input legen. Maar volgens mij loop je dan het risico dat je ook legitieme mail wegknikkerd, iets wat je natuurlijk nooit wil doen :)


tis het een of het ander!
wij maken dit bijna wekelijks mee, lig er niet meer wakker van.
We ontvangen automatich een sms bericht bij grote hoeveel mail berichten.

gewoom een lek in de contact pagina's op de site van je klanten.
adviseer je klanten FormMail of andere veiligere scripts.

Het gaat hier alleen niet om een mail scriptje... Maar om

// Function to Visualize Source Code files
// Function to Dowload Local Xploite Binary COde or Source Code
// Function to visulize Format Color Source Code PHP
// Function to Visualize all infomation files
// Function to send fake mail

En (dus) do_brk vma exploit

Als je je hier van af maakt met het legen van je cache gaat er toch iets niet goed, maar allicht een ander script.

tis het een of het ander!
Dan maar tragere mailafhandeling in plaats van mail van je klanten weg. Ik zou in ieder geval niet zomaar je hele input leegmikken maar met zorg (script ;) ) selecteren welke zooi je weggooit.