Localiseren mailvirus

Kun je niet het aantal hits op de scripts vergelijken? Ik weet niet of dat met DA kan, maar met een filesystem tool waarschijnlijk wel.

Hoeveel wordt er meer verzonden dan dat je zou verwachten? Enkele, tientallen, honderden of meer?
Bij honderden of meer denk ik dat je server als spam-verstuur bak gebruikt wordt en kan 'ie maar beter zo snel mogelijk off-line gehaald worden.

Verder: al eens in de logfiles gekeken? /var/log/mail.log als start, weet je in elk geval wat meer over waar die mail naartoe gaat.

Ik gok dat dit beter in Non-Windows Operating Systems past. Het heeft bar weinig met I&H te maken in elk geval.

Elke verstandige admin zou deze machine _direct_ van het Internet afhalen.

Ik denk dat de topic starter bedoelt dat hij een webhost heeft die hij niet zomaar van het web kan halen. Voor zover ik kan zien is het systeem niet geconfigureerd als mailserver dus hoogstwaarschijnlijk is het geen open relay - wel even op testen?

Staat er in de mail log niet wie de mails verstuurt en naar waar ze gaan? Als de user 'apache' of 'www' is dan is het hoogstwaarschijnlijk een webform die slecht gemaakt is.

Een gemiddelde sysadmin zou dit wel moeten kunnen achterhalen - waar is je sysadmin? Je kunt inderdaad de logfiles correleren maar gemakkelijker zou zijn om zoiets als MPM ITK te gebruiken zodat elke website onder zijn eigen user draait - dan is het heel gemakkelijk om te zien welke user/site de mails verzendt.

Als je een grote webhost bent (of wilt zijn) dan kun je beter ook de mails die buitengaan scannen tegen spam. Hoogstwaarschijnlijk is het geen virus (heb je vreemde processen draaien op je systeem?) maar je kun tegen rootkits scannen.

[ Voor 6% gewijzigd door Guru Evi op 15-10-2009 20:09 ]