Spam --- alle hulp welkom

**visser** · 09/07/13 23:53

Oorspronkelijk geplaatst door IT-worX

Ik kan indien gewenst een cat doen, maar die file is tamelijk groot. Zou deze hier al als txt moeten zetten.

Dat is wat ik ook eerst dacht. Het eerste wachtwoord was een vrij zwak wachtwoord (8 karakters, 3 letters gevolgd door 5 cijfers) en dat heb ik dan gisteren per meteen ook veranderd door een vrij sterk wachtwoord (16 karakters, 4 cijfers, 4 letters, 4 hoofdletters, 4 "rare" tekens zoals @, !, ? en $)

In plaats van raden naar oorzaken, zoek nou gewoon naar exim log files, en post een paar regels van een inkomende en uitgaande spam mail.

Die zouden hier moeten staan :
exim:

/var/log/exim/mainlog
/var/log/exim/paniclog
/var/log/exim/processlog
/var/log/exim/rejectlog

Gewoon bekijken met 'less' , je ziet snel genoeg een beetje structuur . Dan doorkijken/greppen op dat spammende IP adres.
Post regels die relevant lijken hier, dan kunnen we wellicht zien waar je verder moet zoeken naar de ingang waar die spammer gebruik van maakt.

**IT-worX** · 10/07/13 00:13

Beste Visser,

Eerst en vooral : bedankt om mee te denken en je heldere en duidelijke informatie/tips.

Hierbij de resultaten:

[root@v01 ~]# less /var/log/exim/paniclog | grep 189.253.15.241 ==> niks
[root@v01 ~]# less /var/log/exim/processlog | grep 189.253.15.241 ==> niks
[root@v01 ~]# less /var/log/exim/rejectlog | grep 189.253.15.241 ==> niks
[root@v01 ~]# less /var/log/exim/mainlog | grep 189.253.15.241
2013-07-09 17:43:14 1Uwa4Q-0001Da-Dc <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=536 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for bucatahome@aol.com

2013-07-09 17:43:16 1Uwa4S-0001Da-5h <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=545 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for 4pyles3360@comcast.net

2013-07-09 17:43:18 1Uwa4T-0001Da-Se <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=547 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for lucy@linksparadise.com

2013-07-09 17:43:20 1Uwa4V-0001Da-KH <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=547 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for jmarkgra@optonline.net

2013-07-09 17:43:21 1Uwa4X-0001Da-Ao <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=557 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for crimzennclover@aol.com

2013-07-09 17:43:23 1Uwa4Z-0001Da-4l <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=539 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for elevinsp06@msn.com

2013-07-09 17:43:25 1Uwa4a-0001Da-VE <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=526 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for audnco@mac.com

2013-07-09 17:43:27 1Uwa4c-0001Da-S8 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=536 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for tpoh99@verizon.net

2013-07-09 17:43:29 1Uwa4e-0001Da-Pi <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=531 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for jim_bunker@msn.com

2013-07-09 17:43:31 1Uwa4g-0001Da-W0 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=542 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for donnas9470@charter.net

2013-07-09 17:43:33 1Uwa4i-0001Da-Mc <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=554 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for dbrigati@bellsouth.net

2013-07-09 17:43:35 1Uwa4k-0001Da-Q4 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=540 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for lizebk@googlemail.com

2013-07-09 17:43:36 1Uwa4m-0001Da-GD <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=560 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for jenemorris@embarqmail.com

2013-07-09 17:43:38 1Uwa4o-0001Da-6E <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=554 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for mandyh1973@googlemail.com

2013-07-09 17:43:40 1Uwa4p-0001Da-Sz <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-
SHA:256 A=login:kris@derocker.name S=556 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for kristen@cruisecontrolgear.com

2013-07-09 17:43:42 1Uwa4r-0001Da-PD <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=545 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for dillon96@nycap.rr.com

2013-07-09 17:43:43 1Uwa4t-0001Da-F8 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=554 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for jennifer@nyshoeaddict.com

2013-07-09 17:43:45 1Uwa4v-0001Da-8e <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=538 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for kecapps@q.com

2013-07-09 17:43:47 1Uwa4x-0001Da-1N <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=560 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for rcarlson@mattsonresources.com

2013-07-09 17:43:49 1Uwa4y-0001Da-Ru <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=527 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for djbalb@cfl.rr.com

2013-07-09 17:43:51 1Uwa50-0001Da-J7 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=557 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for james@atlantisstudios.net

2013-07-09 17:43:52 1Uwa52-0001Da-BR <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=536 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for bcwoo@comcast.net

2013-07-09 17:43:54 1Uwa54-0001Da-8f <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=541 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for maria@matlockmail.com

2013-07-09 17:43:56 1Uwa55-0001Da-Um <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=550 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for jamespowers@ymail.com

2013-07-09 17:43:58 1Uwa57-0001Da-NC <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=542 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for clairescott07@aol.com

2013-07-09 17:43:59 1Uwa59-0001Da-EP <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=536 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for ann.moyer@att.net

2013-07-09 17:44:01 1Uwa5B-0001Da-4J <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=535 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for ladnerm@eatel.net

2013-07-09 17:44:03 1Uwa5C-0001Da-R7 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=557 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for nigeltaplin123@googlemail.com

2013-07-09 17:44:04 1Uwa5E-0001Da-HS <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=538 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for richwardsr@me.com

2013-07-09 17:44:06 1Uwa5G-0001Da-7q <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=528 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for lsaenz89@live.com

2013-07-09 17:44:08 1Uwa5H-0001Da-Tu <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=549 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for simplysweet65@comcast.net

2013-07-09 17:44:10 1Uwa5J-0001Da-K4 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=530 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for patbush@q.com

2013-07-09 17:44:11 1Uwa5L-0001Da-HM <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=527 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for kncn3@att.net

2013-07-09 17:44:13 1Uwa5N-0001Da-AT <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=538 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for linda5031@att.net

2013-07-09 17:44:15 1Uwa5P-0001Da-3x <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=550 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for osagecitycd@optonline.net

2013-07-09 17:44:17 1Uwa5Q-0001Da-R6 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=529 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for jwjkbenza@msn.com

2013-07-09 17:44:19 1Uwa5S-0001Da-Ic <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=550 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for jworley@worleyinc.com

2013-07-09 17:44:21 1Uwa5U-0001Da-Ef <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=540 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for rox1925@sbcglobal.net

2013-07-09 17:44:22 1Uwa5W-0001Da-9e <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=546 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for mgeersens@twmi.rr.com

2013-07-09 17:44:24 1Uwa5Y-0001Da-81 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=551 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for bjr1717@sbcglobal.net

2013-07-09 17:44:26 1Uwa5a-0001Da-0H <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=560 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for torilyn10@comcast.net

2013-07-09 17:44:28 1Uwa5b-0001Da-Pa <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=547 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for sidblain51@googlemail.com

2013-07-09 17:44:30 1Uwa5d-0001Da-Jw <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=534 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for manon.roy@mac.com

2013-07-09 17:44:31 1Uwa5f-0001Da-AU <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=540 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for cabogaert@comcast.net

2013-07-09 17:44:33 1Uwa5h-0001Da-0h <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=542 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for anitac@centurytel.net

2013-07-09 17:44:35 1Uwa5i-0001Da-NX <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=548 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for jnap55@suddenlink.net

2013-07-09 17:44:36 1Uwa5k-0001Da-Dd <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=549 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for gj10251@sbcglobal.net

2013-07-09 17:44:38 1Uwa5m-0001Da-3K <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=543 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for fadoll@centurytel.net

2013-07-09 17:44:40 1Uwa5n-0001Da-Py <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=536 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for tc.heflin@verizon.net

2013-07-09 17:44:42 1Uwa5p-0001Da-Ik <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=551 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for tbrunet@rogers.blackberry.net

2013-07-09 17:44:43 1Uwa5r-0001Da-Bi <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=567 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for collette.steele@sbcglobal.net

2013-07-09 17:44:45 1Uwa5t-0001Da-2H <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=540 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for kpettit62@att.net

2013-07-09 17:44:47 1Uwa5u-0001Da-UQ <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=536 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for wredflute@aol.com

2013-07-09 17:44:49 1Uwa5w-0001Da-P1 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=537 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for cheriedeutsch@cox.net

2013-07-09 17:44:51 1Uwa5y-0001Da-Vv <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=540 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for charcmc@bellsouth.net

2013-07-09 17:44:53 1Uwa60-0001Da-Ox <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=563 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for lajuanahelt@bellsouth.net

2013-07-09 17:44:55 1Uwa62-0001Da-M5 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=550 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for emchaley@emchaley.com

2013-07-09 17:44:56 1Uwa64-0001Da-DI <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=550 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for arieldj@bellsouth.net

2013-07-09 17:44:58 1Uwa66-0001Da-89 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=541 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for s.miller@frontier.com

2013-07-09 17:45:00 1Uwa68-0001Da-0W <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=539 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for sabine.hansen@aol.com

2013-07-09 17:45:02 1Uwa69-0001Da-MX <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=536 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for hematoma@live.com

2013-07-09 17:45:03 1Uwa6B-0001Da-C5 <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=535 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for edjob@stny.rr.com

2013-07-09 17:45:05 1Uwa6D-0001Da-2j <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=540 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for jackie.rogers@verizon.net

2013-07-09 17:45:07 1Uwa6E-0001Da-QP <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=545 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for laurawing@verizon.net

2013-07-09 17:45:08 1Uwa6G-0001Da-HN <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=538 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for tracybudd@att.net

2013-07-09 17:45:10 1Uwa6I-0001Da-9N <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=555 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for michael.gulla@newbury.edu

2013-07-09 17:45:13 1Uwa6L-0001Da-6u <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=551 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for cwerner@bis.midco.net

2013-07-09 17:45:15 1Uwa6N-0001Da-0V <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=571 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for michelle_benish@sbcglobal.net

2013-07-09 17:45:17 1Uwa6O-0001Da-QL <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=551 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for dsingh9547@nyc.rr.com

2013-07-09 17:45:19 1Uwa6Q-0001Da-QF <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=545 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for kag200767@verizon.net

2013-07-09 17:45:21 1Uwa6S-0001Da-Mv <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=558 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for pamfontenot53@comcast.net

2013-07-09 17:45:23 1Uwa6U-0001Da-Mg <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1:DHE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=547 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for melpatterson@live.com

**visser** · 10/07/13 00:54

Oorspronkelijk geplaatst door IT-worX

Beste Visser,

Eerst en vooral : bedankt om mee te denken en je heldere en duidelijke informatie/tips.

Hierbij de resultaten:

[root@v01 ~]# less /var/log/exim/paniclog | grep 189.253.15.241 ==> niks
[root@v01 ~]# less /var/log/exim/processlog | grep 189.253.15.241 ==> niks
[root@v01 ~]# less /var/log/exim/rejectlog | grep 189.253.15.241 ==> niks
[root@v01 ~]# less /var/log/exim/mainlog | grep 189.253.15.241
2013-07-09 17:43:14 1Uwa4Q-0001Da-Dc <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1

HE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=536 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for bucatahome@aol.com

2013-07-09 17:43:16 1Uwa4S-0001Da-5h <= kris@derocker.name H=(localhost) [189.253.15.241] P=esmtpsa X=TLSv1

HE-RSA-AES256-SHA:256 A=login:kris@derocker.name S=545 T="Fwd: AMAZING WEBSITE" from <kris@derocker.name> for 4pyles3360@comcast.net

(nb: met 'less /pad/naar/file ' bekijk je file per scherm, spatie om verder te gaan. En nog een hoop toetsen.
Wil je greppen, dan doe je gewoon grep "patroon" /pad/naar/file )

Zoveel regels had ook weer niet gehoeven , want ze zeggen min of meer hetzelfde ...

Wat zien we in deze logs :
timestamp message-id <= envelope sender
H : de spammer gaf localhost als antwoord voor SMTP HELO , en kwam van IP 189.253.15.241
P : het gebruikte protocol : esmtpsa : smtp met sender authenticatie :

quote uit exim manual :

The protocol is set to “esmtpsa” or “esmtpa” for messages received from hosts that have authenticated themselves using the SMTP AUTH command. The first value is used when the SMTP connection was encrypted (“secure”). In this case there is an additional item A= followed by the name of the authenticator that was used. If an authenticated identification was set up by the authenticator’s server_set_id option, this is logged too, separated by a colon from the authenticator name.

S= het aantal regels
T = Mail subject

Als je in de logfile kijkt,zul je (met het message id als key) nog verder kunnen volgen wat er met deze mail gebeurde.
Je moet dan nog het aanbieden aan de ontvanger zien e.d.

Maar de relevante regel is de esmtpsa : De spammer heeft kunnen authenticeren als user 'kris@derocker.name'

Waar dat gebruikerspassword staat weet ik zo niet , en ook niet waar de spammer dat wachtwoord heeft kunnen oogsten/raden .
Maar in elk geval is dat wat je dicht moet zetten.

(na google : vermoedelijk staat die password file hier : /etc/virtual/derocker.name/passwd )
Let dus op dat je dat virtual user password aan moet passen, niet (alleen) een admin of systeem user password.

**systemdeveloper** · 10/07/13 01:04

Je moet idd je password van user 'kris@derocker.name' even aanpassen en voorkomen dat dit opnieuw 'gesniffed' kan worden. (Eigen pc checken, lokaties waar vandaan je inlogt e.d.).

**IT-worX** · 10/07/13 10:01

Beste Visser, systemdeveloper,

Ik vermoed dat als ik het wachtwoord aanpas in DA dat hij de file in /etc/virtual/derocker.name/passwd overschrijft?
Ik heb voor de mailbox kris@derocker.name namelijk daar reeds het wachtwoord al veranderd eergisteren, maar gisteren bleek ik alsnog mails te krijgen dat die niet konden afgeleverd worden. Hierdoor heb ik ook al zitten denken op keyloggers etc die op mijn laptop of vaste pc kunnen staan (hoewel malwarebytes niks heeft gevonden). Ik heb nu even de pc van de vriendin gebruikt om het wachtwoord opnieuw te wijzigen (zopas gedaan). Aangezien dit toestel nog geen week oud is, zou er daar niks kwaadaardigd op mogen staan...

Uit een whois blijkt dat het iemand uit Mexico is die aan logt op mijn account. Nu wilt het toeval dat ik 2 jaar terug (september 2011) in Mexico heb gezeten en dus daar via webmail (roundcube) mijn mail heb gelezen. Het kan uiteraard zijn dat op één van die pc's een keylogger stond, maar dan is het nog altijd raar dat hij pas na 2 jaar dit probeert. Niet 100% zeker dus of dit met elkaar te maken heeft...

**cyrano** · 10/07/13 14:23

Oorspronkelijk geplaatst door IT-worX

...maar dan is het nog altijd raar dat hij pas na 2 jaar dit probeert. Niet 100% zeker dus of dit met elkaar te maken heeft...

Kleine correctie. Het is pas na twee jaar dat je 't merkt.

Misschien is hij voorzichtig en ongemerkt al twee jaar in kleine hoeveelheden aan 't spammen?

Het punt waar je paswoord zou kunnen gesnifft worden, is ook je werkomgeving. Daar al aan gedacht?

**IT-worX** · 10/07/13 14:36

Ik gebruik mijn privé e-mailadres niet op de werkvloer. Enkel op mijn laptop/vaste pc/gsm staat deze ingesteld.
Het kan inderdaad dat hij altijd voorzichtig is geweest maar dan is het wel erg raar dat hij nu pas begint te sturen naar e-mailadressen die niet bestaan (vermits de anderen allemaal zijn toegekomen dan?).

**systemdeveloper** · 10/07/13 14:44

De 'verzamelaar' van de logingegevens is niet altijd dezelfde persoon die de spam verstuurd.
Vaak zijn er partijen die puur de logins verzamelen (en er verder vanaf blijven) en pas bij een behoorlijke hoeveelheid accounts, deze verkopen aan een spammer.

**cyrano** · 10/07/13 16:42

Vroeger waren spammers meestal van het "brute force" type. Tegenwoordig worden zelfs zij verfijnder ;-)

Onderwerp Gereedschap

Toon

Onderwerp: Spam --- alle hulp welkom

Webhostingtalk.nl

Link met ons

Partners

Contact