lukelukeluke
Member
Hallo zusammen,
Habe einen Server (Webserver, Mailserver) mit Sendmail und Relaying ausgeschaltet, der nun vermutlich Spam raussendet. Habe plötzlich viele Mails an "root" erhalten, welches Rebounces sind, wahrscheinlich von unerfolgreichem Spam-Versand.
In der Maillog treten viele solche Linien auf:
Wobei ich hier die IP und die hotmail-domain etwas unkenntlich gemacht habe. Heisst das, wenn diese Logs angezeigt werden, dass der Versand von einem Programm / Skript auf dem Server erfolgt? Weil wenn relaying ausgeschaltet ist kanns ja nicht von aussen sein... resp. würden dann diese Logs angezeigt?
Wie kann ich genau schauen, was die Mails erzeugt, resp. ob PHP oder evtl. ein Daemon? Netstat hilft nicht viel weiter...
Vielen Dank für die Hilfe!
PS: Was auffällt ist, dass immer auf einmal so 10-20 solcher Logs auftauchen wie oben reinkopiert. Diese sind aber immer von anderen IP-Adressen, aber alle beginnen mit 65.55. oder 65.54.
Habe einen Server (Webserver, Mailserver) mit Sendmail und Relaying ausgeschaltet, der nun vermutlich Spam raussendet. Habe plötzlich viele Mails an "root" erhalten, welches Rebounces sind, wahrscheinlich von unerfolgreichem Spam-Versand.
In der Maillog treten viele solche Linien auf:
Code:
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sima_017-pub@ hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sikiraqa_a@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d sn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sik.sheher@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d sn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sijaaa_@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn= 5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sihane_3@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn =5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrunannar@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrun_svarta@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4] , dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<siera_v_pz@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d sn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sida_h@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn=5 .1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_sick_e@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_girl_l@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_mustafa@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [65.55.92.13 6], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_89@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d sn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_1990@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_000@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shyhrete.w@ hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d sn=5.1.1, stat=User unknown
Wobei ich hier die IP und die hotmail-domain etwas unkenntlich gemacht habe. Heisst das, wenn diese Logs angezeigt werden, dass der Versand von einem Programm / Skript auf dem Server erfolgt? Weil wenn relaying ausgeschaltet ist kanns ja nicht von aussen sein... resp. würden dann diese Logs angezeigt?
Wie kann ich genau schauen, was die Mails erzeugt, resp. ob PHP oder evtl. ein Daemon? Netstat hilft nicht viel weiter...
Vielen Dank für die Hilfe!
PS: Was auffällt ist, dass immer auf einmal so 10-20 solcher Logs auftauchen wie oben reinkopiert. Diese sind aber immer von anderen IP-Adressen, aber alle beginnen mit 65.55. oder 65.54.
Last edited by a moderator: