• Login| Registreer
Likes Likes:  0
Resultaten 1 tot 12 van de 12
Geen
  1. #1
    AlexanderOnline
    AlexanderOnline is offline. 26/10/05 21:06
    Heel veel bounce mails: hacker?
    ex-webhoster
    1.034 Berichten
    Ingeschreven
    01/07/04

    Locatie
    Enschede

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Bedrijf: nietmeer
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter

    Heel veel bounce mails: hacker?

    Beste WHTers,

    twee klanten krijgen sinds kort (ene klant sinds vanmorgen, andere 2 dagen terug) hun mail account (username@domein.tld) volge"spammeded" met bounce mails van onze mailservers, ik citeer klant: "Een paar dagen geleden had ik die hele 25000 mails verwijderd. Vandaag heb ik weer gekeken en er blijken er weer 5000 te zijn."

    Het gaat, vermoed ik, om spam mails:

    The message identifier is: 1EQx3r-0004fQ-MD
    The subject of the message is: Destaque do m?s !! Playboy
    The date of the message is: Sun, 16 Oct 2005 03:11:39 +0200

    The address to which the message has not yet been delivered is:

    camila@hawk.com.br
    Delay reason: SMTP error from remote mailer after RCPT TO:<camila@hawk.com.br>:
    host mail.dashsjc.com.br [200.206.190.237]: 450 <camila@hawk.com.br>:
    Recipient address rejected: User unknown in local recipient table


    A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:



    camilop@ieg.com.br

    It appears that the DNS operator for ieg.com.br has installed an invalid MX record with an IP address instead of a domain name on the right hand side.


    Viel me wel op dat bij beide klanten , die dit als voorbeeld gaven, iets met camila/o is.

    Kunnen jullie mij eens raad geven: hoe pak ik dit aan? Ik heb niet echt een idee hoe ik dit nu moet uitzoeken, het lijkt erop dat die mailboxen misbruikt worden. chkrootkit geeft aan dat er geen rootkits gevonden zijn. Waar kan ik nog meer mee zoeken? Iemand ervaringen met zo'n situatie?

    Alvast bedankt!

    Alexander
  2. #2
    roelp
    roelp is offline. 26/10/05 22:02
    Heel veel bounce mails: hacker?
    geregistreerd gebruiker
    246 Berichten
    Ingeschreven
    19/01/04

    Locatie
    België

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    1 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    je zal toch eens de volledige mail headers moeten bekijken om te zien van waar dit afkomstig is
  3. #3
    t.bloo
    t.bloo is offline. 26/10/05 22:44
    t.bloo's Avatar
    Heel veel bounce mails: hacker?
    Geregistreerd Gebruiker
    4.754 Berichten
    Ingeschreven
    23/04/05

    Locatie
    Eindhoven

    Post Thanks / Like
    Mentioned
    15 Post(s)
    Tagged
    0 Thread(s)
    353 Berichten zijn liked


    Naam: Toin Bloo
    Bedrijf: Dommel Hosting
    URL: www.dommelhosting.nl
    ISPConnect: Lid
    KvK nummer: 17177247

    Heb ik zo vaak gehad, ook ooit op jullie servers. Is geen spam vanuit jouw server, maar ze vullen dan jouw adres in voor de retour mailtjes. Anders krijgen ze die zelf en dat hebben ze liever niet.
  4. #4
    AlexanderOnline
    AlexanderOnline is offline. 27/10/05 08:54
    Heel veel bounce mails: hacker?
    ex-webhoster
    1.034 Berichten
    Ingeschreven
    01/07/04

    Locatie
    Enschede

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Bedrijf: nietmeer
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Headers:
    Return-path: <>
    Envelope-to: almir46@themis.openhost.nl
    Delivery-date: Wed, 19 Oct 2005 10:34:06 +0200
    Received: from mail by themis.openhost.nl with local (Exim 4.50)
    id 1ES9Og-0006D0-Uc
    for almir46@themis.openhost.nl; Wed, 19 Oct 2005 10:34:06 +0200
    Auto-Submitted: auto-generated
    From: Mail Delivery System <Mailer-Daemon@themis.openhost.nl>
    To: almir46@themis.openhost.nl
    Subject: Warning: message 1EQx3r-0004fQ-MD delayed 72 hours
    Message-Id: <E1ES9Og-0006D0-Uc@themis.openhost.nl>
    Date: Wed, 19 Oct 2005 10:34:06 +0200


    Dit zegt een van de logs:

    [root@themis exim]# cat mainlog.1 | grep 1ES9Og-0006D0-Uc
    2005-10-19 10:34:06 1ES9Og-0006D0-Uc <= <> R=1EQx3r-0004fQ-MD U=mail P=local S=1399 T="Warning: message 1EQx3r-0004fQ-MD delayed 72 hours" from <> for almir46@themis.openhost.nl
    2005-10-19 10:34:06 1ES9Og-0006D0-Uc => almir46 <almir46@themis.openhost.nl> F=<> R=localuser T=local_delivery S=1547
    2005-10-19 10:34:06 1ES9Og-0006D0-Uc Completed
  5. #5
    fusehost
    fusehost is offline. 27/10/05 09:32
    Heel veel bounce mails: hacker?
    geregistreerd gebruiker
    87 Berichten
    Ingeschreven
    08/08/04

    Locatie
    Gent

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: ja
    KvK nummer: BE-0475.284.162
    Ondernemingsnummer: nvt

    is een joe-job. De "from" en "return-to" worden op een ander adres gezet dan de echte afzender. Het is dan ook niet de bedoeling dat de mensen antwoorden, maar een of andere link klikken die in de mail zit (paypal, ebay,...).

    Weinig tegen te doen. Als je er een lijn kan in vinden, die returns blocken op je mail server, maar meestal niet eenvoudig.

    Hier gebeurt het wel eens per maand, dus maak je niet teveel zorgen.
  6. #6
    t.bloo
    t.bloo is offline. 27/10/05 11:12
    t.bloo's Avatar
    Heel veel bounce mails: hacker?
    Geregistreerd Gebruiker
    4.754 Berichten
    Ingeschreven
    23/04/05

    Locatie
    Eindhoven

    Post Thanks / Like
    Mentioned
    15 Post(s)
    Tagged
    0 Thread(s)
    353 Berichten zijn liked


    Naam: Toin Bloo
    Bedrijf: Dommel Hosting
    URL: www.dommelhosting.nl
    ISPConnect: Lid
    KvK nummer: 17177247

    Kun je het niet blokken? Komt het op de catch all binnen? Misschien kun je wat regels opstellen of die inbox opheffen.
  7. #7
    jw_
    jw_ is offline. 27/10/05 13:24
    Heel veel bounce mails: hacker?
    geregistreerd gebruiker
    1 Berichten
    Ingeschreven
    04/11/04

    Locatie
    Utrecht

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: ja
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    De e-mail wordt lokaal verstuurd, draaien er geen vreemde processen op de server?

    Misschien heb je last van een phpnuke, awstats, phpbb, enz... exploit ?
  8. #8
    t.bloo
    t.bloo is offline. 27/10/05 13:51
    t.bloo's Avatar
    Heel veel bounce mails: hacker?
    Geregistreerd Gebruiker
    4.754 Berichten
    Ingeschreven
    23/04/05

    Locatie
    Eindhoven

    Post Thanks / Like
    Mentioned
    15 Post(s)
    Tagged
    0 Thread(s)
    353 Berichten zijn liked


    Naam: Toin Bloo
    Bedrijf: Dommel Hosting
    URL: www.dommelhosting.nl
    ISPConnect: Lid
    KvK nummer: 17177247

    oh net niet goed gekeken. het lijkt er op dat het wel van je eigen servers af komt. ik zou het een en ander gaan afsluiten voordat je geblacklist bent overal en nergens...
  9. #9
    AlexanderOnline
    AlexanderOnline is offline. 28/10/05 11:43
    Heel veel bounce mails: hacker?
    ex-webhoster
    1.034 Berichten
    Ingeschreven
    01/07/04

    Locatie
    Enschede

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Bedrijf: nietmeer
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Ik heb eerlijk gezegd geen idee hoe ik erachter kom welke user die mail stuurt, de log's zeggen daar verder niks over (of is daar wel een log voor?)
  10. #10
    Technotop
    Technotop is offline. 28/10/05 17:09
    Heel veel bounce mails: hacker?
    Cloud en Datacenters
    1.442 Berichten
    Ingeschreven
    11/06/05

    Locatie
    Zoetermeer

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    10 Berichten zijn liked


    Bedrijf: Technotop Internet BV
    URL: www.technotop.nl
    Registrar SIDN: nee
    ISPConnect: JA
    KvK nummer: 55349323
    Ondernemingsnummer: nvt

    Origineel geplaatst door AlexanderOnline
    Ik heb eerlijk gezegd geen idee hoe ik erachter kom welke user die mail stuurt, de log's zeggen daar verder niks over (of is daar wel een log voor?)
    hier ook last van, wil weten hoe ik kan zien welke user dit doet.
    Technotop Internet BV - Sinds 2005 gespecialiseerd in cloud en datacentra.
  11. #11
    MaffeMuis
    MaffeMuis is offline. 28/10/05 19:54
    Heel veel bounce mails: hacker?
    Stukje kaas?
    624 Berichten
    Ingeschreven
    15/11/03

    Locatie
    Vught/Den Bosch

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 17168104
    Ondernemingsnummer: nvt

    Ik zou ook even je Exim update naar 4.54
    En misschien even de mail die via PHP wordt verstuurd laten loggen.
  12. #12
    AlexanderOnline
    AlexanderOnline is offline. 29/10/05 12:07
    Heel veel bounce mails: hacker?
    ex-webhoster
    1.034 Berichten
    Ingeschreven
    01/07/04

    Locatie
    Enschede

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Bedrijf: nietmeer
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Exim updaten, zou dat helpen? Weet je toevallig ook hoe ik php dat laat loggen, als je een duwtje in de goede richting geeft zoewk ik het wel uit (straks lijkt het nog of ik lui bent :P)


« Vorig Onderwerp | Volgend Onderwerp »

Webhostingtalk.nl

Link met ons

Partners

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics