Toon posts:

[Sendmail] raar sendmail gedrag veel mail en veel instanties

Pagina: 1
Acties:
  • 320 views sinds 30-01-2008
  • Reageer

dinsdag 4 september 2007 00:04

Acties:
  • Multispeed
  • Registratie: Juli 2001
  • Laatst online: 19-02-2025

Multispeed

HEY! Dat ben ik!

Topicstarter
Sinds gisteren lijkt mijn sendmail aardig overstuur ik heb nu voor (nood) mijn port 25 dichtgezet in de firewall doe ik dit namelijk niet gaat het met met sendmail/

Allereerst lijkt er veel meer mail binnen te komen dan normaal als ik /var/log/maillog tail
verder worden er ook erg veel sendmail instaties geopend met allemaal

code:
1
2
3
4
5
6
7
8
9
10
11

2934 root 8744 kB sendmail: server [220.73.160.188] cmd read 
2935 root 8744 kB sendmail: server quartz.rok.com.au [203.23.51.10] cmd read 
2936 root 8744 kB sendmail: l83Lv2qN002936 79-65-218-98.dynamic.dsl.as9105.com [79.65.218.98]: DAT ... 
2937 root 8744 kB sendmail: server ainavaan.iki.fi [212.16.98.51] cmd read 
2939 root 8744 kB sendmail: server loodblast.esolutioncenter.net [217.109.149.252] cmd read 
2941 root 8744 kB sendmail: server ns38058.ovh.net [91.121.10.73] cmd read 
2942 root 8744 kB sendmail: server hermes30.mail.cornell.edu [132.236.56.55] cmd read 
2944 root 8744 kB sendmail: server [133.9.91.253] cmd read 
2933 root 8708 kB sendmail: startup with 212.68.205.34 
2940 root 8708 kB sendmail: startup with mercury.novatel.com 
2943 root 8708 kB sendmail: startup with 195.207.160.137

Dit zijn er maar een paar het kunnen er gemakkelijk 40-50 zijn


maar ook met o.a
code:
1
2

2729 root 8720 kB sendmail: ./l83GET9U024067 dryfly.ws.: user open 
2728 root 8684 kB sendmail: accepting connections


En die vind ik vooral vreemd wat deze wordt vaak genoemd op google met een formmail hack.

Uiteraard heb ik gelijk een aantal tests gedaan of mijn systeem relayed (wat me al sterk leek) aangezien ik dit nog nooit eerder heb gehad, uit elke test kwam dan ook dat mijn server niet relayed.
Maar als hij niet relayed wat is het wel ? Aangezien hier best wat mail op draait en ik kan zo niet vinden wat het is ben ik verder gaan zoeken.

Uiteraard heb ik dat op op google gedaan maar het lijkt wel of de problemen opzich staan(iedereen een andere oorzaak) + het feit dat er veel chinese sites tussen zitten kon ik niet tot een antwoord komen vandaar mijn vraag hier.


Het gaat op een
Centos 5 final machine (volledig geupdate) in combinatie met sendmail


Net na ik dit bericht typ ben ik nog eens in mijn /tmp gaan kijken en vielen 2 bestanden mij op

fm05770e.txt
en
hosts.deny.5818

in die fm05770e.txt staat
[code]
FormMail version check for identifier 'www.***.nl' at 10:59:55
[/code]

[ Voor 5% gewijzigd door Multispeed op 04-09-2007 00:10 ]

En toevallig vind ik dus van niet! :-)

dinsdag 4 september 2007 00:08

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

formmail hack? Draai je toevallig gezellig bekende PHP-scripts als Joomla of phpBB en dat soort dingen?

Kan zijn dat er een scriptje lek is en dat men via jouw server loopt te spammen.

Overigens kan ik op Google maar weinig relevants vinden m.b.t. dat dryfly oid?

Is het trouwens úitgaande mail of binnenkomende?

[ Voor 25% gewijzigd door Osiris op 04-09-2007 00:10 ]

dinsdag 4 september 2007 00:12

Acties:
  • Multispeed
  • Registratie: Juli 2001
  • Laatst online: 19-02-2025

Multispeed

HEY! Dat ben ik!

Topicstarter
hier een voorbeeld uit maillog

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

Sep  2 05:07:43 rack sendmail[11491]: l8237gc8011491: ruleset=check_rcpt, arg1=<scleroticectomy@bospark.com>, relay=mail2.tsdudley.com [216.201.209.206], reject=550 5.7.1 <scleroticectomy@bospark.com>... Relaying denied
Sep  2 05:07:43 rack sendmail[11491]: l8237gc8011491: from=<>, size=0, class=0, nrcpts=0, proto=ESMTP, daemon=MTA, relay=mail2.tsdudley.com [216.201.209.206]
Sep  2 05:07:44 rack sendmail[11510]: l8237iMi011510: ruleset=check_rcpt, arg1=<threadflower@detalmahoeve.com>, relay=m2s1.massmonopoly.com [72.29.76.150], reject=550 5.7.1 <threadflower@detalmahoeve.com>... Relaying denied
Sep  2 05:07:44 rack sendmail[11510]: l8237iMi011510: from=<>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=m2s1.massmonopoly.com [72.29.76.150]
Sep  2 05:07:46 rack sendmail[21546]: l822lZBN021546: lost input channel from firewall.fyg.com.sg [203.125.152.210] to MTA after rcpt
Sep  2 05:07:46 rack sendmail[21546]: l822lZBN021546: from=<>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=firewall.fyg.com.sg [203.125.152.210]
Sep  2 05:07:46 rack sendmail[11563]: l8237kT9011563: ruleset=check_rcpt, arg1=<threadflower@detalmahoeve.com>, relay=mxout.iskon.hr [213.191.128.80], reject=550 5.7.1 <threadflower@detalmahoeve.com>... Relaying denied
Sep  2 05:07:46 rack sendmail[11563]: l8237kT9011563: from=<>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=mxout.iskon.hr [213.191.128.80]
Sep  2 05:07:46 rack sendmail[11564]: l8237kVK011564: ruleset=check_rcpt, arg1=<saccharinity@bospark.com>, relay=chimx3.publicisgroupe.com [167.246.9.53], reject=550 5.7.1 <saccharinity@bospark.com>... Relaying denied
Sep  2 05:07:46 rack sendmail[11564]: l8237kVK011564: from=<>, size=3400, class=0, nrcpts=0, proto=ESMTP, daemon=MTA, relay=chimx3.publicisgroupe.com [167.246.9.53]
Sep  2 05:07:46 rack sendmail[11562]: l8237jvi011562: from=<>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=firewall.fyg.com.sg [203.125.152.210]
Sep  2 05:07:47 rack sendmail[11598]: l8237l6s011598: ruleset=check_rcpt, arg1=<viceroy@parkderandstad.com>, relay=p13.groups.msn.com [65.54.208.89], reject=550 5.7.1 <viceroy@parkderandstad.com>... Relaying denied
Sep  2 05:07:48 rack sendmail[11598]: l8237l6s011598: from=<autoresponse-bounce@groups.msn.com>, size=0, class=0, nrcpts=0, proto=ESMTP, daemon=MTA, relay=p13.groups.msn.com [65.54.208.89]

En toevallig vind ik dus van niet! :-)

dinsdag 4 september 2007 00:16

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Draai anders eens voor de gein chkrootkit of rkhunter, want 't ziet er nou niet echt gezond uit ofzo.

Draai je toevallig zelf ergens FormMail?

[ Voor 31% gewijzigd door Osiris op 04-09-2007 00:17 ]

dinsdag 4 september 2007 00:20

Acties:
  • Multispeed
  • Registratie: Juli 2001
  • Laatst online: 19-02-2025

Multispeed

HEY! Dat ben ik!

Topicstarter
verschillende mensen maken gebruik van deze machine en idd ben wel een paar formmail.php tegen gekomen

maarja welke is het lek :)


EDIT:

chkrootkit niks gevonden

rkhunter
System checks summary
=====================

File properties checks...
Files checked: 129
Suspect files: 6

Rootkit checks...
Rootkits checked : 114
Possible rootkits: 0

Applications checks...
Applications checked: 7
Suspect applications: 0

The system checks took: 1 minute and 16 seconds
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

[00:25:30] /usr/bin/GET                                      [ Warning ]
[00:25:30] Warning: The command '/usr/bin/GET' has been replaced by a script: /usr/bin/GET: perl script text executable
[00:25:30] /usr/bin/groups                                   [ Warning ]
[00:25:30] Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: Bourne shell script text executable
[00:25:30] /usr/bin/head                                     [ OK ]
[00:25:30] /usr/bin/id                                       [ OK ]
[00:25:31] /usr/bin/kill                                     [ OK ]
[00:25:31] /usr/bin/killall                                  [ OK ]
[00:25:31] /usr/bin/last                                     [ OK ]
[00:25:31] /usr/bin/lastlog                                  [ OK ]
[00:25:31] /usr/bin/ldd                                      [ Warning ]
[00:25:31] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne shell script text executable

[00:25:35] /usr/bin/whatis                                   [ Warning ]
[00:25:35] Warning: The command '/usr/bin/whatis' has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable
[00:25:35] /usr/bin/whereis                                  [ OK ]
[00:25:35] /usr/bin/which                                    [ OK ]
[00:25:35] /usr/bin/who                                      [ OK ]
[00:25:35] /usr/bin/whoami                                   [ OK ]
[00:25:35] /usr/bin/gawk                                     [ OK ]
[00:25:36] /sbin/chkconfig                                   [ OK ]
[00:25:36] /sbin/depmod                                      [ OK ]
[00:25:36] /sbin/ifconfig                                    [ OK ]
[00:25:36] /sbin/ifdown                                      [ Warning ]
[00:25:36] Warning: The command '/sbin/ifdown' has been replaced by a script: /sbin/ifdown: Bourne-Again shell script text executable
[00:25:36] /sbin/ifup                                        [ Warning ]
[00:25:36] Warning: The command '/sbin/ifup' has been replaced by a script: /sbin/ifup: Bourne-Again shell script text executable

[ Voor 138% gewijzigd door Multispeed op 04-09-2007 00:30 ]

En toevallig vind ik dus van niet! :-)

dinsdag 4 september 2007 00:43

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Gouldian schreef op dinsdag 04 september 2007 @ 00:20:
verschillende mensen maken gebruik van deze machine en idd ben wel een paar formmail.php tegen gekomen

maarja welke is het lek :)
D'r staat vast wel een versie in die PHP's? Check ook de site, 1.6 is harstikke lek als ik dat nieuws-item mag geloven :P

Oh en die warnings kúnnen false-positives zijn, omdat CentOS mísschien (geen idee hoor) zo nou eenmaal werkt. Maar dat zou je ff moeten checken.

[ Voor 16% gewijzigd door Osiris op 04-09-2007 00:44 ]

dinsdag 4 september 2007 00:44

Acties:
  • Multispeed
  • Registratie: Juli 2001
  • Laatst online: 19-02-2025

Multispeed

HEY! Dat ben ik!

Topicstarter
ik kijk ze even door

code:
1
2
3
4

<?PHP
define('VERSION','Classic v1.06.0');
define('MANUAL','http://www.boaddrink.com/projects/phpformmail/readme.php');
define('CHECK_REFERER', true);


de rest is allemaal versie 5.00 of 6.02

[ Voor 84% gewijzigd door Multispeed op 04-09-2007 00:51 ]

En toevallig vind ik dus van niet! :-)

dinsdag 4 september 2007 00:53

Acties:
  • Multispeed
  • Registratie: Juli 2001
  • Laatst online: 19-02-2025

Multispeed

HEY! Dat ben ik!

Topicstarter
die group file zie ik niks geks in just plain text

de formmail 1.6 versie heb ik verplaats naar een map in de root is het probleem dan verholpen ? of doen die formmail exploits meer


EDIT:


is het niet zo dat als je de formmail exploit zou hebben dat er allemaal mail vanaf mijn server gestuurd zou worden en niet vanaf allemaal adressen proberen te relayen etc. ?

Is het dan niet gewoon een DDOS MailBomb aanval en moet ik de rit even uitzitten (als het al stopt)

[ Voor 45% gewijzigd door Multispeed op 04-09-2007 09:26 ]

En toevallig vind ik dus van niet! :-)

dinsdag 4 september 2007 12:07

Acties:
  • Multispeed
  • Registratie: Juli 2001
  • Laatst online: 19-02-2025

Multispeed

HEY! Dat ben ik!

Topicstarter
Vanochtend uiteraard weer doorgegaan om het probleem proberen te verhelpen na een kort nachtje. Ben ik op deze oplossing gekomen ( even afkloppen)
http://www.cyberciti.biz/...al-of-service-dos-attack/

Dit werkt nu uitstekend voor me het geheugen gebruik komt niet boven de 300mb uit waar hij voorheen hem pushde tot 1gig


Mochten jullie nog meer tips eventueel hebben of opmerkingen op de instellingen in de link dan zou ik het graag vernemen

En toevallig vind ik dus van niet! :-)

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq