Hallo allerseits,
so langsam bin ich ratlos: seit ein paar Tagen bekomme ich Spammails, die scheinbar? durch einen kompromittierten Mailaccount auf meinem Server verschickt werden, die Mailheader lauten:
Received: (qmail 17587 invoked from network); 6 Aug 2012 23:42:28 +0200
Received: from 177-174-100-140.user.vivozap.com.br (177.174.100.140)
by <meinserver> with SMTP; 6 Aug 2012 23:42:27 +0200
im Logfile taucht aber kein Login durch diesen User auf - die IP Adresse taucht im Logfile nur bei dem Versand der Mail auf, sie kann keinem User zugeordnet werden, mich wundert nur das invoked from network --> http://www.lynkit.net/blog/spam-attacks-in-plesk-and-qmail/
Aug 6 23:42:22 server3 /var/qmail/bin/relaylock[17581]: /var/qmail/bin/relaylock: mail from 177.174.100.140:4007 (177-174-100-140.user.vivozap.com.br)
Aug 6 23:42:23 server3 /var/qmail/bin/relaylock[17582]: /var/qmail/bin/relaylock: mail from 139.255.208.231:2253 (not defined)
Aug 6 23:42:27 server3 qmail-queue-handlers[17584]: Handlers Filter before-queue for qmail started ...
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: from=no-reply@vivozap.com.br
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: to=<mailadresse>
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: handlers_stderr: SKIP
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: SKIP during call 'check-quota' handler
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: starter: submitter[17587] exited normally
Aug 6 23:42:28 server3 qmail: 1344289348.161884 new msg 21358368
Aug 6 23:42:28 server3 qmail: 1344289348.161915 info msg 21358368: bytes 1286 from <no-reply@vivozap.com.br> qp 17587 uid 2020
Aug 6 23:42:28 server3 qmail: 1344289348.164620 starting delivery 41: msg 21358368 to local 26-<mailadresse>
Aug 6 23:42:28 server3 qmail: 1344289348.164642 status: local 1/10 remote 0/20
Aug 6 23:42:28 server3 qmail-local-handlers[17588]: Handlers Filter before-local for qmail started ...
Aug 6 23:42:28 server3 qmail-local-handlers[17588]: from=no-reply@vivozap.com.br
Aug 6 23:42:28 server3 qmail-local-handlers[17588]: to=<mailadresse>
Aug 6 23:42:28 server3 qmail-local-handlers[17588]: mailbox: /var/qmail/mailnames/...
Die Spam Mails werden sehr punktiert verschickt, sie gehen scheinbar auch nur an Mailadressen, die auf diesem Server liegen, und in der Mailqueue fallen sie auch nicht weiter auf.
chkrootkit findet nix, ebenso hab ich auch bereits gecheckt, ob die Mails über einen php mailer rausgehen...
Viele Grüße
Tobias
so langsam bin ich ratlos: seit ein paar Tagen bekomme ich Spammails, die scheinbar? durch einen kompromittierten Mailaccount auf meinem Server verschickt werden, die Mailheader lauten:
Received: (qmail 17587 invoked from network); 6 Aug 2012 23:42:28 +0200
Received: from 177-174-100-140.user.vivozap.com.br (177.174.100.140)
by <meinserver> with SMTP; 6 Aug 2012 23:42:27 +0200
im Logfile taucht aber kein Login durch diesen User auf - die IP Adresse taucht im Logfile nur bei dem Versand der Mail auf, sie kann keinem User zugeordnet werden, mich wundert nur das invoked from network --> http://www.lynkit.net/blog/spam-attacks-in-plesk-and-qmail/
Aug 6 23:42:22 server3 /var/qmail/bin/relaylock[17581]: /var/qmail/bin/relaylock: mail from 177.174.100.140:4007 (177-174-100-140.user.vivozap.com.br)
Aug 6 23:42:23 server3 /var/qmail/bin/relaylock[17582]: /var/qmail/bin/relaylock: mail from 139.255.208.231:2253 (not defined)
Aug 6 23:42:27 server3 qmail-queue-handlers[17584]: Handlers Filter before-queue for qmail started ...
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: from=no-reply@vivozap.com.br
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: to=<mailadresse>
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: handlers_stderr: SKIP
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: SKIP during call 'check-quota' handler
Aug 6 23:42:28 server3 qmail-queue-handlers[17584]: starter: submitter[17587] exited normally
Aug 6 23:42:28 server3 qmail: 1344289348.161884 new msg 21358368
Aug 6 23:42:28 server3 qmail: 1344289348.161915 info msg 21358368: bytes 1286 from <no-reply@vivozap.com.br> qp 17587 uid 2020
Aug 6 23:42:28 server3 qmail: 1344289348.164620 starting delivery 41: msg 21358368 to local 26-<mailadresse>
Aug 6 23:42:28 server3 qmail: 1344289348.164642 status: local 1/10 remote 0/20
Aug 6 23:42:28 server3 qmail-local-handlers[17588]: Handlers Filter before-local for qmail started ...
Aug 6 23:42:28 server3 qmail-local-handlers[17588]: from=no-reply@vivozap.com.br
Aug 6 23:42:28 server3 qmail-local-handlers[17588]: to=<mailadresse>
Aug 6 23:42:28 server3 qmail-local-handlers[17588]: mailbox: /var/qmail/mailnames/...
Die Spam Mails werden sehr punktiert verschickt, sie gehen scheinbar auch nur an Mailadressen, die auf diesem Server liegen, und in der Mailqueue fallen sie auch nicht weiter auf.
chkrootkit findet nix, ebenso hab ich auch bereits gecheckt, ob die Mails über einen php mailer rausgehen...
Viele Grüße
Tobias
Jetzt muss ich nur noch rausbekommen, wie manche Spammer es schaffen, den spamassassin zu umgehen .....