[RH 7.2] [spam] Virus, trojan of niets? - Privacy en beveiliging

donderdag 18 maart 2004 14:46

Acties:

Topicstarter

Of deze hier moet of in NOS weet ik niet, maar hier komt het:

Situatie: RH 7.2 bak (P1 200 MHz, 64 MB), sendmail, Kaspersky Antivirus for Linux 4.0

Nogal verouderd dus, ook RH is nooit geupdate. Nu zie ik bij netstat -a bijvoorbeeld staan:

code:

1
2
3

tcp   0   0  myserver:1167  ms2a.hinet.net: smtp    ESTABLISHED

tcp   0   0  myserver:1265  203.79.224.111: smtp   ESTABLISHED

Betekent dit dat deze machine gebruikt wordt om spam mee te versturen of is het puur een mailtje dat binnen komt?
Ik heb de / gescand met Kaspersky, deze vond ook virussen, maar het is niet duidelijk of dit alleen geinfecteerde en in quarantaine gezette mail is of ook een virus dat onder linux draait.

De Windows clients zijn inmiddels ook met een geupdate Kaspersky gescand, er zijn geen actieve virussen gevonden. (In de logboeken staan wel infecties in het verleden).
Door het scannen en het versturen/ontvangen van grote hoeveelheden mail loopt de bak op een gegeven moment vast (load van 30 of meer).

Weet iemand iets? Bedankt alvast.

[ Voor 5% gewijzigd door pinockio op 18-03-2004 15:51 . Reden: nog een ip-adres ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

donderdag 18 maart 2004 15:13

Acties:

elevator

Officieel moto fan :)

Dat zijn 2 uitgaande SMTP connected inderdaad - uitgaande SMTP connecties betekent natuurlijk niet automatisch dat je ook spam verstuurt - een mailserver verstuurt ook wel eens normale mail toch?

Scan eens met http://www.abuse.net/relay.html ofdat je een open relay bent om mee te beginnen

donderdag 18 maart 2004 15:23

Acties:

pinockio

Topicstarter

Het is trouwens sendmail 8.9.3, achter een firewall die alleen poort 25 en 22 opent naar buiten toe.
Helaas kan ik http://www.abuse.net/relay.html niet bereiken (die is offline)?

Ik gebruik nu http://www.ordb.org/submit/

Even voor de duidelijkheid:

De netstat-vermelding hierboven, betekent die:

a. Dat er mail NAAR deze server wordt verstuurd (voor gebruikers op dit domein, zeg myserver.com)

b. Dat er mail DOOR deze server wordt verstuurd, welke mail dus van spammers komt uit domeinen als hinet.net / tw.yahoo.com / giga.net / yam.com etc.?

Dat is me nog niet zo duidelijk.

Inmiddels is abuse.net wel weer bereikbaar. De server lijkt een open relay (anonymous test) maar dat kan ook een false positive zijn.
In ieder geval wordt de situatie ingewikkelder doordat de machine waar ik het over heb mail ontvangt van een SCO server met sendmail (zelfde versie). Pas daarna wordt de mail hier gescand. Dus de instellingen van sendmail moeten op de SCO server worden aangepast.

[ Voor 84% gewijzigd door pinockio op 18-03-2004 16:02 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

donderdag 18 maart 2004 16:28

Acties:

elevator

Officieel moto fan :)

Het is jouw server die een connectie maakt naar een andere mailserver.
Een open relay is een heel slecht teken - kijk even hier: http://www.mail-abuse.org/tsi/ar-fix.html hoe je het kan fixen

donderdag 18 maart 2004 16:34

Acties:

pinockio

Topicstarter

Het lijkt er inderdaad op. Bedankt voor de tips. Voor wie dit nodig heeft:

http://www.mail-abuse.org/tsi/ar-fix.html#sendmail_8

Hier staat ook iets over sendmail 8.9.3, de versie die gebruikt wordt.

http://spam.abuse.net/adminhelp/smPbS.shtml

http://www.sendmail.org/~ca/email/chk-89n.html

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.