作者 主題: openwebmail已刪帳號,被鳥哥寫的登錄檔分析工具,分析出還有登入  (閱讀 2640 次)

0 會員 與 1 訪客 正在閱讀本文。

sineed

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
各位大大您好,小弟的SERVER出現了一個很奇怪的問題。
我有一個帳號因垃圾信很多,之後我就把他刪除了。
有一天我照往常在看鳥哥寫的登錄檔分析工具所分析出來的log,竟然發現那個被我刪除的帳號,利用OPENWEBMAIL登入,仔細看看,他竟然用我內部的虛擬IP登入,更扯的是那天是假日,我確定那一個內部虛擬IP使用的電腦那一天是關機的,更不用說會登入OPENWEBMAIL還寄信了,於是我去看var/log/openwebmail.log又發現並沒有分析出來的log裡顯示的人登入,這實在讓我一頭霧水,除非他不是用我的SERVER裡的OPENWEBMAIL吧。
我實在是不知道他是如何辦到的,想請各位大大給予小第一個方向,謝謝。

sineed

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
補充一下!!!


以下是鳥哥寫的
#!/bin/bash
#
# 主要分析 openwebmail 這個服務所產生的 logfile 資料,
# 分析的是 /var/log/openwebmail.log 這個檔案
# 目前僅分析
#   1. 登入次數
#   2. 錯誤登入次數
#   3. 傳送電子郵件次數!
#
# Writtern by VBird
#
# 2005/01/09    VBird   Released
#
#####################################################################
# Openwebmail 的登錄資料的功能函數
funcopenwebmail () {
   echo "================= Openwebmail 的登錄檔資訊彙整 ======================="   >> $logfile
   grep "$y" /var/log/openwebmail.log > $basedir/openwebmaillog

   # 1. 先取得成功登入的次數!
   testing1=`grep 'login' $basedir/openwebmaillog | grep -v error`
   if [ "$testing1" != "" ]; then
      echo "成功登入 OpenWebmail 的次數統計:"               >> $logfile
      echo "帳號 來源 次數" | \
         awk '{printf("%-6s %-10s %-15s %-4s\n", " ", $1, $2, $3)}'      >> $logfile
      grep 'login' $basedir/openwebmaillog | grep -v error | awk '{print $9 " " $8}'|\
         sed 's/(//g' | sed 's/)//g' | sort |\
         awk '{ for( i=0; i<1; i++ ) Number[$i]++ };
            END{ for( course in Number )
            printf( "%-25s %3d\n", course, Number[course])}' |\
         sort -k 3 -gr  | \
         awk '{printf("%-6s %-10s %-15s %3d\n", " ",$1, $2, $3)}'      >> $logfile
      echo " "                           >> $logfile
      testing2=`grep 'send message' $basedir/openwebmaillog`
   fi

   # 2. 如果有登入過,並且找到有送出郵件時~
   if [ "$testing2" != "" ]; then
      echo "利用 OpenWebmail 發送出信件的次數統計:"               >> $logfile
      echo "帳號 來源 次數" | \
         awk '{printf("%-6s %-10s %-15s %-4s\n", " ", $1, $2, $3)}'      >> $logfile
      grep 'send message' $basedir/openwebmaillog | awk '{print $9 " " $8}'|\
         sed 's/(//g' | sed 's/)//g' | sort |\
         awk '{ for( i=0; i<1; i++ ) Number[$i]++ };
            END{ for( course in Number )
            printf( "%-25s %3d\n", course, Number[course])}' |\
         sort -k 3 -gr  | \
         awk '{printf("%-6s %-10s %-15s %3d\n", " ",$1, $2, $3)}'      >> $logfile
      echo " "                           >> $logfile
   fi
   
   # 3. 錯誤登入的次數!
   testing3=`grep 'login' $basedir/openwebmaillog | grep error`
   if [ "$testing3" != "" ]; then
      echo "登入失敗 OpenWebmail 的次數統計:"               >> $logfile
      echo "帳號 來源 次數" | \
         awk '{printf("%-6s %-10s %-15s %-4s\n", " ", $1, $2, $3)}'      >> $logfile
      grep 'login' $basedir/openwebmaillog | grep  error | awk '{print $9 " " $8}'|\
         sed 's/(//g' | sed 's/)//g' | sort |\
         awk '{ for( i=0; i<1; i++ ) Number[$i]++ };
            END{ for( course in Number )
            printf( "%-25s %3d\n", course, Number[course])}' |\
         sort -k 3 -gr  | \
         awk '{printf("%-6s %-10s %-15s %3d\n", " ",$1, $2, $3)}'      >> $logfile
      echo " "                           >> $logfile
   fi

   # 4. 都沒有任何資訊的時候!
   if [ "$testing1" == "" ] && [ "$testing2" == "" ] && [ "$testing3" == "" ] ; then
      echo "本日沒有任何 Open Webmail 的資訊~"               >> $logfile
      echo " "                           >> $logfile
   fi
   echo " "                              >> $logfile
}







7 8 9 號的log       (/var/log/openwebmail.log)

Tue Jul  7 08:05:56 2009 - [18595] (192.9.200.2) sineed-1 - login - sineed-1*mail.shtm.com.tw-session-0.801923955415504 - active=0,0,0
Tue Jul  7 08:05:56 2009 - [18596] (192.9.200.2) sineed-1 - clean trash - 2 msg deleted from mail-trash
Tue Jul  7 08:14:50 2009 - [18633] (192.9.200.2) sineed-1 - move message - move 1 msgs from INBOX to mail-trash - ids=<20090706161107.AD97D1540448@mail.shtm.com.tw>
Tue Jul  7 08:19:27 2009 - [18664] (192.9.200.2) sineed-1 - move message - move 1 msgs from INBOX to mail-trash - ids=<20090706200212.D28141540448@mail.shtm.com.tw>
Tue Jul  7 08:19:29 2009 - [18666] (192.9.200.2) sineed-1 - logout - sineed-1*mail.shtm.com.tw-session-0.801923955415504
Tue Jul  7 09:49:46 2009 - [18938] (117.25.164.58) xsmm - login - xsmm*mail.shtm.com.tw-session-0.35890541444266 - active=0,0,0
Tue Jul  7 09:53:13 2009 - [18955] (117.25.164.58) xsmm - send message - subject=耀撿堤億隴牉摯羲彶遴葆遴隴牉20090707 - to=LeoHuang@mail.shtm.com.tw
Tue Jul  7 19:21:30 2009 - [20661] (192.9.200.2) sineed-1 - login - sineed-1*mail.shtm.com.tw-session-0.797922846718819 - active=0,0,0
Tue Jul  7 19:21:38 2009 - [20665] (192.9.200.2) sineed-1 - webdisk download - /新文字文件.txt
Wed Jul  8 08:03:12 2009 - [10440] (192.9.200.2) sineed-1 - session cleanup - sineed-1*mail.shtm.com.tw-session-0.797922846718819
Wed Jul  8 08:03:13 2009 - [10440] (192.9.200.2) sineed-1 - login - sineed-1*mail.shtm.com.tw-session-0.684146708899306 - active=0,0,0
Wed Jul  8 08:03:13 2009 - [10441] (192.9.200.2) sineed-1 - clean trash - 3 msg deleted from mail-trash
Wed Jul  8 08:07:40 2009 - [10456] (192.9.200.2) sineed-1 - move message - move 1 msgs from INBOX to mail-trash - ids=<20090707161102.0BA6A1540448@mail.shtm.com.tw>
Wed Jul  8 08:07:53 2009 - [10459] (192.9.200.2) sineed-1 - move message - move 1 msgs from INBOX to mail-trash - ids=<20090707210847.D52631540448@mail.shtm.com.tw>
Wed Jul  8 08:09:14 2009 - [10468] (192.9.200.2) sineed-1 - move message - move 1 msgs from INBOX to mail-trash - ids=<20090707200241.853121540449@mail.shtm.com.tw>
Wed Jul  8 08:09:29 2009 - [10471] (192.9.200.2) sineed-1 - logout - sineed-1*mail.shtm.com.tw-session-0.684146708899306
Thu Jul  9 08:21:24 2009 - [17764] (192.9.200.2) sineed-1 - session cleanup - xsmm*mail.shtm.com.tw-session-0.35890541444266
Thu Jul  9 08:21:24 2009 - [17764] (192.9.200.2) sineed-1 - login - sineed-1*mail.shtm.com.tw-session-0.755808989840688 - active=0,0,0
Thu Jul  9 08:21:25 2009 - [17765] (192.9.200.2) sineed-1 - clean trash - 2 msg deleted from mail-trash









鳥哥分析出來8號的結果
 
##########################################################
歡迎使用本程式來查驗您的登錄檔
本程式目前版本為: Version 0.1-4-2
程式最後更新日期為: 2006-09-22
若在您的系統中發現本程式有問題, 歡迎與我聯絡!
鳥哥的首頁 http://linux.vbird.org
問題回報: http://phorum.vbird.org/viewtopic.php?t=3425
##########################################################
 
=============== 系統彙整 =================================
核心版本  : Linux version 2.6.18-128.1.16.el5xen (mockbuild@builder10.centos.org)
CPU 資訊  : Intel(R) Xeon(R) CPU
Intel(R) Xeon(R) CPU
Intel(R) Xeon(R) CPU
Intel(R) Xeon(R) CPU
         : 1596.000 MHz
         : 1596.000 MHz
         : 1596.000 MHz
         : 1596.000 MHz
主機名稱  : shtm.com.tw
統計日期  : 2009/July/09 00:10:02 ( Thursday )
分析的日期: Jul  8
已開機期間: 1 day, 2:43,
目前主機掛載的 partitions
      Filesystem            Size  Used Avail Use% Mounted on
      /dev/mapper/VolGroup00-LogVol01
                            288G  233G   41G  86% /
      /dev/md0               99M   75M   19M  80% /boot
      tmpfs                 434M     0  434M   0% /dev/shm
      /dev/sdc1             151G   70G   75G  49% /backup
      none                  434M   40K  434M   1% /var/lib/xenstored

================= Openwebmail 的登錄檔資訊彙整 =======================
成功登入 OpenWebmail 的次數統計:
      帳號       來源            次數
      sineed     192.9.200.2       6
      samuel     192.9.200.3       2                   ( 有此帳號但是192.9.200.3目前沒有使用,而且已與此人確認他昨天沒有登入)
      xsmm       117.25.164.58     1
      sineed-1   192.9.200.2       1

利用 OpenWebmail 發送出信件的次數統計:
      帳號       來源            次數
      xsmm       117.25.164.58     1
     sineed     192.9.200.2       1          (沒這個帳號還能寄信喔) :o


總結:
1. sineed是一個不存在的帳號 (已更名為sineed-1)
2./var/log/openwebmail.log並無此sineed登入的紀錄
3.samuel這個人並沒有登入,卻以沒有使用的ip登入


到底是哪出問題,搞到我一頭霧水.......................

« 上次編輯: 2009-07-09 09:25 由 sineed »

sineed

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
應該是被Relay了,請教各位大大我的想法正確嗎