Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

email script virus/exploit?

Pagina: 1
Acties:

dinsdag 24 oktober 2006 22:02

Acties:
  • ronny
  • Registratie: Februari 2001
  • Laatst online: 16-02-2024

ronny

Trotse vader

Topicstarter
Ik heb een eigen mail server draaien. Deze draait CC3.1 volledig up to date.
Deze wordt voornamelijk gebruikt voor mail en webserver voor mijn foto gallery en ik heb een tijdje proFTP open gehad voor dat online storage, maar die heb ik toch maar weer dicht gezet.
Nu kreeg ik pas een bounce mailtje dat ik bij spamhause.org op de blacklist sta.
Ik ben de enige mail gebruiker dus dat gaat niet zo hard. Ik heb geen open relay en CC gebruikt postfix als mail server.
Nu ben ik er wat ingedoken maar kom wat vreemde dingen tegen:
Op de hoofdpagina (dashboard) worden de volgende getallen gepresenteerd:
code:
1
2
3
4
5
6
7
8
9
10

Email berichten
Ontvangen   38
Afgeleverd  15
Doorgestuurd    0
Omgeleid    5
Teruggekaatst   59
Geweigerd   1
Weigerings waarschuwing 0
Vastgehouden    0
Weggegooid  0


Nou voor 15 mail hoeft toch niemand wakker te liggen.

Als ik verder kijk kom ik onder raportages email heel andere waarden tegen:
code:
1
2
3
4
5
6
7
8
9
10

Andere raportages       
Ontvangen   1081
Afgeleverd  452
Doorgestuurd    0
Omgeleid    123
Teruggekaatst   1624
Geweigerd   30
Weigerings waarschuwing 0
Vastgehouden    0
Weggegooid  0


Als ik dan verder kijk waar het naartoe gestuurd is wordt het helemaal vaag:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

Domein samenvatting - Afgeleverd

 sent cnt  bytes   defers   avg dly max dly host/domain

     40     2647k       0     0.5 s    4.0 s  vdmolen.net

     11    62407        0    11.7 s    1.1 m  hotmail.com

      9    15646        0     0.1 s    1.0 s  kabelfoon.nl

      7    21451        0    28.0 s    1.5 m  msn.com

      6    35845       23     1.3 s    6.8 h  gmail.com

      5    28401        0     2.0 s    3.0 s  aol.com

      4    24398        0     6.0 s    9.0 s  adelphia.net

      4    24238        0     0.8 s    1.0 s  moneypartners.co.uk

      4    24150        0    11.0 s   14.0 s  talkmatch.com

      4    11047        0     4.0 s    6.0 s  yahoo.com

      3    46634        0     3.3 s    5.0 s  sportura.nl

      3    19366        7    10.3 s    6.3 h  canal13.cl

      3    19300        0     1.0 s    1.0 s  pgstudios.biz

      3    19284        0     8.3 s   13.0 s  altroconsumo.it


En de lijst is nog veel langer.
De eerste zijn nog wel legitiem maar dat wordt al snel anders. Je kan je voorstellen dat ik naar zulke domainen geen mail stuur. Ik begrijp alleen niet dat een script naar alle domeinen niet meer als 1-3 mail gaat sturen.

In de log staat het volgende:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Oct 23 09:21:54 server postfix/smtp[16547]: A3221FA9C: to=, relay=mail.hostdepot.com[66.242.128.130], delay=24065, status=deferred (host mail.hostdepot.com[66.242.128.130] refused to talk to me: 550 This system is configured to reject mail from 84.245.10.80 [84.245.10.80] (Host blacklisted - Found on Realtime Black List server '80.10.245.84.sbl-xbl.spamhaus.org'))
Oct 23 09:21:54 server postfix/qmgr[1473]: A3221FA9C: from=<>, status=expired, returned to sender
Oct 23 09:21:54 server postfix/qmgr[1473]: A3221FA9C: removed
Oct 23 09:37:19 server postfix/smtpd[16605]: warning: smtpd_peer_init: 84.240.56.10: hostname lan-84-240-56-10.vln.skynet.lt verification failed: Name or service not known
Oct 23 09:37:19 server postfix/smtpd[16605]: connect from unknown[84.240.56.10]
Oct 23 09:37:21 server postfix/smtpd[16605]: D3DC7FA9C: client=unknown[84.240.56.10]
Oct 23 09:37:23 server postfix/cleanup[16607]: D3DC7FA9C: message-id=<000801c6f676$4d2063e0$0a38f054@userbzefeepziv>
Oct 23 09:37:27 server postfix/qmgr[1473]: D3DC7FA9C: from=, size=19928, nrcpt=1 (queue active)
Oct 23 09:37:27 server postfix/local[16608]: D3DC7FA9C: to=, relay=local, delay=6, status=bounced (unknown user: "arjen")
Oct 23 09:37:27 server postfix/cleanup[16607]: 9C1EEFA9D: message-id=<20061023073727.9C1EEFA9D@mail.vdmolen.net>
Oct 23 09:37:27 server postfix/qmgr[1473]: 9C1EEFA9D: from=<>, size=21546, nrcpt=1 (queue active)
Oct 23 09:37:27 server postfix/qmgr[1473]: D3DC7FA9C: removed
Oct 23 09:37:29 server postfix/smtpd[16605]: disconnect from unknown[84.240.56.10]
Oct 23 09:37:40 server postfix/smtp[16611]: 9C1EEFA9D: to=, relay=mx1.skynet.lt[212.122.94.161], delay=13, status=bounced (host mx1.skynet.lt[212.122.94.161] said: 550-Rejected because 84.245.10.80 is in a black list at sbl-xbl.spamhaus.org 550-http://www.spamhaus.org/query/bl?ip=84.245.10.80 550-Laiskai is jusu adreso nepriimami, kadangi jusu adresas yra itrauktas i 550-juoda sarasa sbl-xbl.spamhaus.org 550 http://www.spamhaus.org/query/bl?ip=84.245.10.80 (in reply to RCPT TO command))
Oct 23 09:37:40 server postfix/qmgr[1473]: 9C1EEFA9D: removed


Maar al ik de processen bekijk zie ik er niets bijzonder bij staan
Al valt het mij wel op dat vrijwel alles als root gestart lijkt te zijn :?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69

1   root    Aug27   init [3]
   2    root    Aug27   [ksoftirqd/0]
   3    root    Aug27   [events/0]
      4     root    Aug27   [khelper]
      5     root    Aug27   [kacpid]
      21    root    Aug27   [kblockd/0]
      34    root    Aug27   [aio/0]
      180   root    Aug27   [ata/0]
      8145  root    Sep05   [pdflush]
      8162  root    Sep05   [pdflush]
   22   root    Aug27   [khubd]
   33   root    Aug27   [kswapd0]
   108  root    Aug27   [kseriod]
   182  root    Aug27   [scsi_eh_0]
   183  root    Aug27   [scsi_eh_1]
   194  root    Aug27   [kjournald]
   799  root    Aug27   [md1_raid1]
   800  root    Aug27   [md0_raid1]
   876  root    Aug27   [kjournald]
   1198     root    Aug27   syslogd -m 0
   1202     root    Aug27   klogd -c 1 -2
   1220     rpc     Aug27   portmap
   1239     root    Aug27   rpc.statd
   1358     root    Aug27   /usr/sbin/dovecot
      1417  root    Aug27   dovecot-auth
      20424     dovecot     Oct23   imap-login
      20427     dovecot     Oct23   imap-login
      20428     dovecot     Oct23   imap-login
   1406     root    Aug27   xinetd -stayalive -pidfile /var/run/xinetd.pid
   1464     root    Aug27   /usr/libexec/postfix/master
      1473  postfix     Aug27   qmgr -l -t fifo -u
      27018     postfix     20:39   pickup -l -t fifo -u
   1476     root    Aug27   /usr/sbin/httpd
      24324     apache  Oct22   /usr/sbin/httpd
      24325     apache  Oct22   /usr/sbin/httpd
      24326     apache  Oct22   /usr/sbin/httpd
      24327     apache  Oct22   /usr/sbin/httpd
      24328     apache  Oct22   /usr/sbin/httpd
   1485     nobody  Aug27   proftpd: (accepting connections)
   1535     root    Aug27   smbd -D
      1546  root    Aug27   smbd -D
      19546     root    Oct23   smbd -D
   1539     root    Aug27   nmbd -D
   1549     root    Aug27   /usr/sbin/saslauthd -m /var/run/saslauthd -a shadow
      1550  root    Aug27   /usr/sbin/saslauthd -m /var/run/saslauthd -a shadow
      1554  root    Aug27   /usr/sbin/saslauthd -m /var/run/saslauthd -a shadow
      1555  root    Aug27   /usr/sbin/saslauthd -m /var/run/saslauthd -a shadow
      1556  root    Aug27   /usr/sbin/saslauthd -m /var/run/saslauthd -a shadow
   1590     suva    Aug27   /usr/local/suva/bin/suvad
   1602     root    Aug27   syswatch
   1623     root    Aug27   webconfig -f /usr/webconfig/conf/httpd.conf
      19567     webconfig   Oct23   webconfig -f /usr/webconfig/conf/httpd.conf
      24323     webconfig   Oct22   webconfig -f /usr/webconfig/conf/httpd.conf
   1636     root    Aug27   /sbin/mingetty tty2
   1637     root    Aug27   /sbin/mingetty tty3
   1638     root    Aug27   /sbin/mingetty tty4
   1639     root    Aug27   /sbin/mingetty tty5
   1640     root    Aug27   /sbin/mingetty tty6
   20717    root    Oct23   /bin/lynx -cfg=/etc/lynx.cfg -nobrowse http://127.0.0.1:82/admin/network.php
   20755    root    Oct23   /bin/sh /usr/sbin/console_start
      20774     root    Oct23   /bin/lynx -cfg=/etc/lynx.cfg -nobrowse http://127.0.0.1:82/admin/network.php
   21457    root    Oct23   rpc.idmapd
   21507    root    Oct23   /usr/sbin/sshd
   21538    root    Oct23   crond
   21695    root    Oct23   /usr/bin/perl /usr/libexec/webmin/miniserv.pl /etc/webmin/miniserv.conf
      27111     root    20:58   /usr/bin/perl /usr/libexec/webmin/miniserv.pl /etc/webmin/miniserv.conf
      27177     root    20:58   /usr/libexec/webmin/proc/index_tree.cgi
      27183     root    20:59   /usr/bin/perl /usr/libexec/webmin/miniserv.pl /etc/webmin/miniserv.conf
      27184     root    20:59   /usr/bin/perl /usr/libexec/webmin/miniserv.pl /etc/webmin/miniserv.conf


Is aan de hand van deze gegevens op te maken waar het probleem zit.
Het zou namelijk toch wel erg fijn zijn als ik weer gewoon mailen kan. _/-\o_

specs werkpaard Youngtimer Touring Car Campionship

dinsdag 24 oktober 2006 22:33

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

mogen we je postfix.conf eens zien?

opzich draait er in je ps aux niets geks... webmin\mail\apache\tty's\sasl.
die getallen schelen omdat de mail wel wordt gestuurd naar de srever maar die hem niet kan deliveren.... ;)

woensdag 25 oktober 2006 22:43

Acties:
  • ronny
  • Registratie: Februari 2001
  • Laatst online: 16-02-2024

ronny

Trotse vader

Topicstarter
Ik moest even zoeken maar hij staat volgens mij in /usr/local/system/configs/postfix/main.cf
Normaal gaat alles webbased. Is wel zo makkelijk om eerst te leren en proberen.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71

# Global Postfix configuration file. This file lists only a subset
# of all 300+ parameters. See the postconf(5) manual page for a
# complete list.

queue_directory = /var/spool/postfix

# The command_directory parameter specifies the location of all
# postXXX commands.
#
command_directory = /usr/sbin

daemon_directory = /usr/libexec/postfix

mail_owner = postfix

myhostname = gateway.myserver.lan

mydomain = myserver.lan

myorigin = $mydomain

inet_interfaces = all

mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

unknown_local_recipient_reject_code = 550

mynetworks = 127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12

virtual_maps = hash:/etc/postfix/virtual

alias_maps = hash:/etc/postfix/aliases

alias_database = hash:/etc/postfix/aliases

debug_peer_level = 2

debugger_command =
     PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
     xxgdb $daemon_directory/$process_name $process_id & sleep 5

#
sendmail_path = /usr/sbin/sendmail.postfix

newaliases_path = /usr/bin/newaliases.postfix

mailq_path = /usr/bin/mailq.postfix

setgid_group = postdrop

#
html_directory = no


manpage_directory = /usr/share/man

#
sample_directory = /usr/share/doc/postfix-2.1.5/samples


readme_directory = /usr/share/doc/postfix-2.1.5/README_FILES

# SASL
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination

# Spam help
bounce_queue_lifetime = 6h


Maar als ik zo naar deze file kijk lijkt het net of hij helemaal nog standaard is en haast niet is ingesteld.
Ik hoop dat je hier wat mee kan.

specs werkpaard Youngtimer Touring Car Campionship

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq