Ik ben er gisteren via de microsoft snds service achter gekomen dat een van mijn servers weer spam uit stuurt. Ik heb dat afgelopen jaar ook een keer gehad. Na wat zoekwerk kwam dat toen door een gehackte pc, waardoor de FTP inloggegevens gestolen waren. Dat betrof toen een DarkMailer daemon.
Ik ben nu alweer de hele dag door de server aan het 'bladeren' om deze nieuwe spammer te achterhalen, maar heb het nog niet gevonden. Het is in iedergeval geen DarkMailer deze keer. Ook zie ik in de xtransfer logs geen vreemde uploads over de afgelopen 6 maanden.
De server draait qmail, maar de spam headers komen niet overeen met de gangbare qmail headers. Het lijkt er dus op dat er weer een bepaalde losse mailserver draait, maar kan hem alleen niet vinden.. ook niet in de proces lijst.
Voorbeeld headers vanuit snds:
X-HmXmrOriginalRecipient: xxx@hotmail.com
X-Reporter-IP: xxx.xxx.xxx.xxx
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NA==
X-Message-Status: n
X-SID-PRA: xxx <xxx@mushroomscience.com>
X-AUTH-Result: NONE
X-Message-Info: 6sSXyD95QpUaEJunCTFSLpjvIlRhFNPULpwKwcFG2Nl5ozHg6W r/5DZ9oiMdk/lPXhlenclCcCKN0gCnn75PGGkLJk6G7KWbuu1l78qpY94=
Received: from domainremoved.com ([xxx.xxx.xxx.xxx]) by SNT0-MC3-F32.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 17 Mar 2011 11:52:46 -0700
Return-path: <xxx@mushroomscience.com>
Received: from xxx by hostar.domainremoved.com with local (Exim 4.2)
id o62Dos-jBjFXY-1q
for xxx@hotmail.com; Thu, 17 Mar 2011 22:50:20 +0100
To: "ajmastriano" <xxx@hotmail.com>
Subject: Meet proposal from 22 yo from Russia
Message-Id: <o62Dos-jBjFXY-1q@hostar.domainremoved.com>
From: "xxx" <xxx@mushroomscience.com>
Date: Thu, 17 Mar 2011 22:50:20 +0100
Mime-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bitHet zijn twee heel verschillende headers, waardoor het lijkt alsof er meer dan 1 spamserver actief is. De eerste heeft zelfs subdomain "hostar" toegevoegd aan mijn domein... erg vreemd. Ook draai ik geen exim op de server.X-HmXmrOriginalRecipient: xxx@hotmail.com
X-Reporter-IP: xxx.xxx.xxx.xxx
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9MA==
X-Message-Status: n
X-SID-PRA: xxx <xxx@hylax.com>
X-AUTH-Result: NONE
X-Message-Info: JGTYoYF78jGWtBVpSdragovFMx1AyQBj2p75298cLTvO5Sxcr5 +2lUMBI7q6GgCTAlc/rayO+1TF3X50YEl4wihAn61SdkAYrOjW7d6rLaE=
Received: from domainremoved.com ([xxx.xxx.xxx.xxx]) by bay0-mc2-f47.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 21 Mar 2011 17:02:15 -0700
Return-path: <xxx@hylax.com>
Received: from xxx by domainremoved.com with local (Exim 4.4)
id iimE84-4KXw8i-Zn
for xxx@hotmail.com; Tue, 22 Mar 2011 06:51:44 +0100
To: "xxx" <xxx@hotmail.com>
Subject: Meeet ptetry snigle loclas
Message-Id: <iimE84-4KXw8i-Zn@domainremoved.com>
From: "xxx" <xxx@hylax.com>
Date: Tue, 22 Mar 2011 06:51:44 +0100
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
Maar zowel het domein als het ip klopt, dat kan niet geforged worden toch?
Heeft er hier iemand nog een idee waar ik zou kunnen kijken, of hoe ik de volledige SMTP traffic een beetje leesbaar kan capturen? Ik ben nu wel tijdelijk alle outgoing qmail traffic aan het opslaan, maar daar gaat het niet tussen zitten denk ik.