Likes Likes:  0
Resultaten 1 tot 7 van de 7
Geen
  1. #1
    Spam problemen op de server
    geregistreerd gebruiker
    581 Berichten
    Ingeschreven
    13/12/03

    Locatie
    Den Bosch, Noord-Brabant, Netherlands

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    4 Berichten zijn liked


    Functie: Founder, Chat4all IRC Network
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter

    Spam problemen op de server

    Ik ben er gisteren via de microsoft snds service achter gekomen dat een van mijn servers weer spam uit stuurt. Ik heb dat afgelopen jaar ook een keer gehad. Na wat zoekwerk kwam dat toen door een gehackte pc, waardoor de FTP inloggegevens gestolen waren. Dat betrof toen een DarkMailer daemon.

    Ik ben nu alweer de hele dag door de server aan het 'bladeren' om deze nieuwe spammer te achterhalen, maar heb het nog niet gevonden. Het is in iedergeval geen DarkMailer deze keer. Ook zie ik in de xtransfer logs geen vreemde uploads over de afgelopen 6 maanden.

    De server draait qmail, maar de spam headers komen niet overeen met de gangbare qmail headers. Het lijkt er dus op dat er weer een bepaalde losse mailserver draait, maar kan hem alleen niet vinden.. ook niet in de proces lijst.

    Voorbeeld headers vanuit snds:

    X-HmXmrOriginalRecipient: xxx@hotmail.com
    X-Reporter-IP: xxx.xxx.xxx.xxx
    X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NA==
    X-Message-Status: n
    X-SID-PRA: xxx <xxx@mushroomscience.com>
    X-AUTH-Result: NONE
    X-Message-Info: 6sSXyD95QpUaEJunCTFSLpjvIlRhFNPULpwKwcFG2Nl5ozHg6W r/5DZ9oiMdk/lPXhlenclCcCKN0gCnn75PGGkLJk6G7KWbuu1l78qpY94=
    Received: from domainremoved.com ([xxx.xxx.xxx.xxx]) by SNT0-MC3-F32.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
    Thu, 17 Mar 2011 11:52:46 -0700
    Return-path: <xxx@mushroomscience.com>
    Received: from xxx by hostar.domainremoved.com with local (Exim 4.2)
    id o62Dos-jBjFXY-1q
    for xxx@hotmail.com; Thu, 17 Mar 2011 22:50:20 +0100
    To: "ajmastriano" <xxx@hotmail.com>
    Subject: Meet proposal from 22 yo from Russia
    Message-Id: <o62Dos-jBjFXY-1q@hostar.domainremoved.com>
    From: "xxx" <xxx@mushroomscience.com>
    Date: Thu, 17 Mar 2011 22:50:20 +0100
    Mime-Version: 1.0
    Content-Type: text/plain
    Content-Transfer-Encoding: 8bit
    X-HmXmrOriginalRecipient: xxx@hotmail.com
    X-Reporter-IP: xxx.xxx.xxx.xxx
    X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9MA==
    X-Message-Status: n
    X-SID-PRA: xxx <xxx@hylax.com>
    X-AUTH-Result: NONE
    X-Message-Info: JGTYoYF78jGWtBVpSdragovFMx1AyQBj2p75298cLTvO5Sxcr5 +2lUMBI7q6GgCTAlc/rayO+1TF3X50YEl4wihAn61SdkAYrOjW7d6rLaE=
    Received: from domainremoved.com ([xxx.xxx.xxx.xxx]) by bay0-mc2-f47.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
    Mon, 21 Mar 2011 17:02:15 -0700
    Return-path: <xxx@hylax.com>
    Received: from xxx by domainremoved.com with local (Exim 4.4)
    id iimE84-4KXw8i-Zn
    for xxx@hotmail.com; Tue, 22 Mar 2011 06:51:44 +0100
    To: "xxx" <xxx@hotmail.com>
    Subject: Meeet ptetry snigle loclas
    Message-Id: <iimE84-4KXw8i-Zn@domainremoved.com>
    From: "xxx" <xxx@hylax.com>
    Date: Tue, 22 Mar 2011 06:51:44 +0100
    Mime-Version: 1.0
    Content-Type: text/plain; charset=us-ascii
    Content-Transfer-Encoding: quoted-printable
    Het zijn twee heel verschillende headers, waardoor het lijkt alsof er meer dan 1 spamserver actief is. De eerste heeft zelfs subdomain "hostar" toegevoegd aan mijn domein... erg vreemd. Ook draai ik geen exim op de server.

    Maar zowel het domein als het ip klopt, dat kan niet geforged worden toch?

    Heeft er hier iemand nog een idee waar ik zou kunnen kijken, of hoe ik de volledige SMTP traffic een beetje leesbaar kan capturen? Ik ben nu wel tijdelijk alle outgoing qmail traffic aan het opslaan, maar daar gaat het niet tussen zitten denk ik.



  2. #2
    Spam problemen op de server
    geregistreerd gebruiker
    581 Berichten
    Ingeschreven
    13/12/03

    Locatie
    Den Bosch, Noord-Brabant, Netherlands

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    4 Berichten zijn liked


    Functie: Founder, Chat4all IRC Network
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Nou ja, na een hele avond de process lijst in de gaten houden en in een ander scherm wireshark draaien, kwam ik er achter dat het toch weer zo'n perl proces was. Een stuk of 100 perl processen onder user apache.

    Ik ben er alleen nog niet achter welk script er verantwoordelijk voor is. Ik heb de machtigingen voor perl gewijzigd zodat apache geen toegang meer heeft (sites kunnen er nog wel gebruik van maken). En verder draai ik op de achtergrond twee wireshark processen om alles met .pl en .cgi te onderscheppen. Hopelijk kom ik er zo uit

  3. #3
    Spam problemen op de server
    Custom User Title
    524 Berichten
    Ingeschreven
    27/09/06

    Locatie
    Ede

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: Ja
    Ondernemingsnummer: nvt

    Je kan toch gewoon iets als mod_ruid gebruiken (zou je sowieso moeten doen), en dan kijken als welke user je perl scripts worden uitgevoerd? Of even wat greppen en kijken of in een script toevallig ergens het path naar dat perl script staat.

  4. #4
    Spam problemen op de server
    geregistreerd gebruiker
    581 Berichten
    Ingeschreven
    13/12/03

    Locatie
    Den Bosch, Noord-Brabant, Netherlands

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    4 Berichten zijn liked


    Functie: Founder, Chat4all IRC Network
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Het nadeel is dat je niet weet wanneer die spammer zijn script activeert. Het is namelijk niet de hele dag door. Daarom heeft het zo lang geduurd voor ik erachter kwam (en natuurlijk dat ik zo dom was snds niet in de gaten te houden). Dat script draait misschien 10 minuten en dan is het voor die dag afgelopen.

    Wat ook vreemd is, is dat die perl processen onder apache draaien en dan echt met applicatie "perl". Normaal worden perl/cgi scripts uitgevoerd onder applicatie "HTTPD", dus ik heb niet echt een idee waar het probleem precies zit.

  5. #5
    Spam problemen op de server
    moderator
    7.022 Berichten
    Ingeschreven
    29/07/03

    Locatie
    Nijmegen

    Post Thanks / Like
    Mentioned
    12 Post(s)
    Tagged
    0 Thread(s)
    175 Berichten zijn liked


    Naam: Mike
    Bedrijf: admin.nu
    URL: www.admin.nu
    Registrar SIDN: Ja
    KvK nummer: 09139651

    Begin eens te kijken of er geen rootkits actief zijn die bepaalde processen blokken, verder kijk in de lijst met open poorten, mocht je poorten hebben die je niet kent kun je proberen erheen te verbinden met telnet. Je hebt in ieder geval datum en tijd, grep alle acces logs van je domeinen en zoek specifiek op POST
    "Zo zijn ook wij één leverancier. Dé leverancier in gedegen Linux kennis, wanneer jij dat nodig hebt."
    Boek je admin vandaag nog via : www.admin.nu
    Gevestigd in Nederland en Moldavië

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  6. #6
    Spam problemen op de server
    Geregistreerd Gebruiker
    4.754 Berichten
    Ingeschreven
    23/04/05

    Locatie
    Eindhoven

    Post Thanks / Like
    Mentioned
    15 Post(s)
    Tagged
    0 Thread(s)
    353 Berichten zijn liked


    Naam: Toin Bloo
    Bedrijf: Dommel Hosting
    URL: www.dommelhosting.nl
    ISPConnect: Lid
    KvK nummer: 17177247

    installeer eens het programma atop, dan kun je achteraf terugkijken wat er is gebeurd

  7. #7
    Spam problemen op de server
    geregistreerd gebruiker
    240 Berichten
    Ingeschreven
    19/12/08

    Locatie
    Hofstade(Aalst)

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: 0476930984

    eventueel zoeken naar alle .pl bestanden in de home dir?

    edit: of met grep zoeken naar #!/usr/local/bin/perl binnen alle bestanden in de home dir

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics