Script ausfindig machen /SPAM/

M

Manuela

New Member
Wir haben auf unserem Server im Maillog heute Einträge vorgefunden von denen wir nicht wissen woher diese kommen.

Beispiel:

Feb 3 22:12:30 www postfix/smtp[10257]: 22FEA4C40340: to=<aaa1@vip.cybercity.dk>, relay=127.0.0.1[127.0.0.1]:10025, delay=1.4, delays=1.3/0/0.04/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 70C754C40344)
Feb 3 22:12:30 www postfix/smtp[10257]: 22FEA4C40340: to=<aaa2@woh.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=1.4, delays=1.3/0/0.04/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 70C754C40344)

Die Emailadressen sind uns auch nicht bekannt, jetzt kam natürlich die Vermutung auf das jemand über den Server Spam verteilt.

Wie macht man den so ein Script ausfindig?
 
Last edited by a moderator:
Interessant ist nun der gesamte Verlauf der Mail auf dem Server. Durchsuche das maillog mal nach der Msg-ID (22FEA4C40340).
 
Ich hab jetzt erstmal Syslog-ng installiert, hoffe ich hab das richtig gemacht/verstanden mit der ID

Code: 
www:/var/log# cat /var/log/mail.log | grep "22FEA4C40340"
Feb  3 22:12:41 www postfix/smtpd[10225]: 22FEA4C40340: client=unknown[92.48.121.159], sasl_method=LOGIN, sasl_username=web8p1@meinedomain.de
Feb  3 22:12:41 www postfix/cleanup[10230]: 22FEA4C40340: message-id=<20110203111241.22FEA4C40340@meinedomain.de>
Feb  3 22:12:41 www postfix/qmgr[25235]: 22FEA4C40340: from=<noreply@netlogmail.com>, size=5741, nrcpt=50 (queue active)
Feb  3 22:12:41 www postfix/cleanup[10230]: 70C754C40344: message-id=<20110203111241.22FEA4C40340@meinedomain.de>
Feb  3 22:12:41 www postfix/smtp[10257]: 22FEA4C40340: to=<aaa0@aol.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=1.4, delays=1.3/0/0.04/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 70C754C40344)
Feb  3 22:12:41 www postfix/smtp[10257]: 22FEA4C40340: to=<aaa1@aol.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=1.4, delays=1.3/0/0.04/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 70C754C40344)
Feb  3 22:12:41 www postfix/smtp[10257]: 22FEA4C40340: to=<aaa2@aol.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=1.4, delays=1.3/0/0.04/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 70C754C40344)
Feb  3 22:12:41 www postfix/smtp[10257]: 22FEA4C40340: to=<aaa3@aol.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=1.4, delays=1.3/0/0.04/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 70C754C40344)
Feb  3 22:12:41 www postfix/smtp[10257]: 22FEA4C40340: to=<aaa4@aol.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=1.4, delays=1.3/0/0.04/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 70C754C40344)

Brauchst du noch etwas an Infos? Ich hab das Web8 jetzt testweise gesperrt und keine weiteren Einträge im Mail.log.. Hab es jetzt denk ich ^^

Wie bzw wo sehe ich den was der Inhalt dieser Mails war?
 
Last edited by a moderator:
Sieht ganz danach aus, daß da wohl ein Spammer das Passwort vom User web8p1 herausbekommen hat - entweder durch Phishing, Brute-Force oder der Rechner, von dem die Mails dieses Users abgerufen werden, hat sich einen Trojaner/Virus eingefangen.
Zum Inhalt der Mail: Wenn du Glück hast, liegt die Mail noch für einige Empfänger in der Queue und kannst sie dir dort ansehen (zu finden im Queue-Ordner unter /var/spool/postfix/)
 
Ja hab ich alles gemacht. Danke euch für die Hilfe nun gefällt mir der Log wieder besser. Hab das web8 gelöscht die Postqueu geleert nun ist es wieder ruhig :)

Wie kann ich denn den Inhalt der Mail über die Konsole lesen? Das hab ich nicht nicht raus
 
Nabnd,

in den geposteten Logs stehen eMail-Adressen von fremden Leuten drin. Könnte mir vorstellen, dass die nicht so drauf stehen, wenn die hier offen in nem Forum auftauchen. Könnte man die vielleicht anonymisieren?
 
Moin moin,

die Email-Adressen sahen sehr willkührlich/geraten aus. Dennoch hast Du recht. Und nachdem der Fall bereits aufgeklärt ist, gibt es keinen Grund dies nicht zu tun.

-- erledigt --

huschi.
 
You must log in or register to reply here.
Back
Top