作者 主題: 有關maillog的資訊!!  (閱讀 5499 次)

0 會員 與 1 訪客 正在閱讀本文。

chen123

  • 懷疑的國中生
  • **
  • 文章數: 47
    • 檢視個人資料
有關maillog的資訊!!
« 於: 2008-09-29 20:11 »
各位前輩好:
今天在maillog發現以下訊息(其中***.***.***.***代表我的mail server的domain)
Sep 29 19:00:27 proxy sendmail[31415]: m8TB0Law031415: from=<toyota@***.***.***.***>, size=1142, class=0, nrcpts=151, msgid=<20080929105527.M90984@***.***.***.***>, proto=ESMTP, daemon=MTA, relay=localhost [127.0.0.1] (may be forged)
Sep 29 19:00:57 proxy sendmail[31512]: m8TB2glR031512: from=<toyota@***.***.***.***>, size=1142, class=0, nrcpts=501, msgid=<20080929110057.M50106@***.***.***.***>, proto=ESMTP, daemon=MTA, relay=localhost [127.0.0.1] (may be forged)
Sep 29 19:03:19 proxy sendmail[31430]: m8TB0Law031415: to=<rburleson1@cox.net>,<dlvikes@cox.net>,<dethridge2@cox.net>,<CandiceBurnes@cox.net>,<fedler2@cox.net>,<bearbrothers1@cox.net>,<nyyankees5@cox.net>,<grannmom@cox.net>,<wandasmith514@cox.net>,<dptompsett@cox.net>,<djgoodale@cox.net>,<louiefrias@cox.net>,<mavahbaker2@cox.net>,<onelentz@cox.net>,<grammiepammie7@cox.net>,<grammies1@cox.net>,<blucake@cox.net>,<a400lbgorilla@cox.net>,<kathy.hensley@cox.net>,<usameetsnazareth@cox.net>,<darleneejr@cox.net>,<rickbain@cox.net>,<rrmcgowan@cox.net>,<mary2000@cox.net>,<salley619@cox.net>,<jaemccjr@cox.net>,<freshko@cox.net>,<rbappr@cox.net>,<csmyrick@cox.net>,<dawnebarton@cox.net>,<harbor709@cox.net>,<ddfjschmerfeld@cox.net>,<cmme@cox.net>,<hwhitmore1@cox.net>,<hawkesja@cox.net>,<rrogers37@cox.net>, [more], delay=00:02:58, xdelay=00:01:53, mailer=esmtp, pri=4621142, relay=mx.east.cox.net. [68.1.17.3], dsn=2.0.0, stat=Sent (Lb1Q1a01a1hGvoa01b1RDP mail accepted for delivery)
Sep 29 19:03:45 proxy sendmail[31524]: m8TB2glR031512: to=<ajmurano@verizon.net>,<texas_savannah@verizon.net>,<Patmorrison@verizon.net>,<jerco10@verizon.net>,<wbender@verizon.net>,<yum.yums@verizon.net>,<estegman@verizon.net>,<dramsey5@verizon.net>,<tomacoservices@verizon.net>,<yankeeluv2@verizon.net>,<purpleangel6951@verizon.net>,<golfprowant2b@verizon.net>,<Sukey.Starkey@verizon.net>,<t.kosey@verizon.net>,<AMFKLETT@VERIZON.NET>,<praying4you@verizon.net>,<billandrosie@verizon.net>,<eugenio.silva@verizon.net>,<WALRADT.NJ@VERIZON.NET>,<bodinewall@verizon.net>,<pfohlbrook@verizon.net>,<ross561@verizon.net>,<howard308@verizon.net>,<melindamendoza@verizon.net>,<survivingteach@verizon.net>,<sjb052@verizon.net>,<glfry@verizon.net>,<newtbird@verizon.net>,<johnrhodenhizer@verizon.net>,<urspider68@verizon.net>,<spirit765@verizon.net>, [more], delay=00:01:02, xdelay=00:00:16, mailer=esmtp, pri=2251093, relay=relay.verizon.net. [206.46.232.11], dsn=2.0.0, stat=Sent (Ok.)
Sep 29 19:03:45 proxy sendmail[31524]: m8TB2glR031512: to=<RHB53@VERIZON.NET>,<kvoshell@verizon.net>,<bobvoshell@verizon.net>,<GIOVANINNI@VERIZON.NET>,<d.solt@verizon.net>,<pawluvsgrk@verizon.net>,<aaronco.pet@verizon.net>,<cchas.barb@verizon.net>,<agyuksel@verizon.net>,<bill.merlin@verizon.net>,<cmygarden2@verizon.net>,<romulet@verizon.net>,<jkallisch@verizon.net>,<templinj@verizon.net>,<debbie35@verizon.net>,<cbgriffith@verizon.net>,<vadler1@verizon.net>,<georgia.kelso@verizon.net>,<priscory@verizon.net>,<hudg5@verizon.net>,<lydiah3@verizon.net>,<elliot.galindo@verizon.net>,<daytona.beach@verizon.net>,<cpmelan@verizon.net>,<jan.len@verizon.net>,<kjs62896@verizon.net>,<chncsr255@verizon.net>,<pwrin8@verizon.net>,<rdly14@verizon.net>, delay=00:01:02, xdelay=00:00:16, mailer=esmtp, pri=2251093, relay=relay.verizon.net. [206.46.232.11], dsn=2.0.0, stat=Sent (Ok.)

netstat -tlnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:10000               0.0.0.0:*                   LISTEN      21182/perl         
tcp        0      0 0.0.0.0:25                  0.0.0.0:*                   LISTEN      31901/sendmail: acc
tcp        0      0 :::110                      :::*                        LISTEN      20049/dovecot       
tcp        0      0 :::80                       :::*                        LISTEN      12039/httpd         
tcp        0      0 :::22                       :::*                        LISTEN      24415/sshd         
tcp        0      0 :::443                      :::*                        LISTEN      12039/httpd

那個toyota並非是我的mail server中的帳號,從紀錄看有出現may be forged,表示它可能是偽造的帳號
但下面出現一堆寄出的mail,但relay不是我的mail server,這是代表什麼意思,我的主機並沒有open relay
我的主機才架好一天而已,是主機被入侵後當成spam主機嗎?
很急!因為現在暫時不敢啟動sendmail,麻煩各位大大幫幫一下,謝謝!!

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: 有關maillog的資訊!!
« 回覆 #1 於: 2008-09-30 00:25 »
如果沒有 open relay, 那麼不是內部網路寄的, 就是機器本身寄的.
往前找前一個 id 的連線吧, 看是由那兒連進來的.

有跑 httpd, 也許是某個有寄信功能的網頁沒寫好, 被人直接 post 來寄信. 也有可能是被放了程式上來.

chen123

  • 懷疑的國中生
  • **
  • 文章數: 47
    • 檢視個人資料
回覆: 有關maillog的資訊!!
« 回覆 #2 於: 2008-09-30 11:46 »
你好:
我開httpd是因為有安裝openwebmail及webmin
因為看secure的紀錄也有很多人想從ssh進來,所以先把它關了再說!
重新啟動sendmail,現在還在監看中!
« 上次編輯: 2008-10-06 22:32 由 chen123 »

chen123

  • 懷疑的國中生
  • **
  • 文章數: 47
    • 檢視個人資料
回覆: 有關maillog的資訊!!
« 回覆 #3 於: 2008-09-30 15:33 »
下午檢查系統發現有三個帳號被設定了.forward不知是哪來的??唯一知道的是這三個帳號跟密碼是一樣的!!但是用他們的帳號並不能登入主機??????
他們的信分別被轉寄到不明的信箱
已刪除!!目前sendmail正常運作,並繼續監看中!
« 上次編輯: 2008-09-30 15:35 由 chen123 »

chen123

  • 懷疑的國中生
  • **
  • 文章數: 47
    • 檢視個人資料
回覆: 有關maillog的資訊!!
« 回覆 #4 於: 2008-10-01 20:40 »
已監看兩天了,目前log沒有再出現異常!祇是還是不知道垃圾信是怎麼進來的?祇能說與sshd有關,沒辦法,自己比較笨吧!
最終結果就是切實遵守三子前輩的"sshd安全設定",還有關閉不必要的服務,總之系統愈簡單愈好,就對了!!