Je to SPAM?

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Sobota Srpen 16 12:13:14 CEST 2003 

On Sat, 16 Aug 2003, Jiří May wrote:

> Tato hlaska se mi zapise kazdych 5min do /var/log/mailog
> 
> Aug 16 11:16:33 domena sendmail[2117]: h7E9Zeu00831:
> to=<RefiDept na mts1-ed.malibumailz2.com>, delay=1+23:32:53,
> xdelay=00:02:00, mailer=esmtp, pri=50613196,
> relay=mail1.malibumailz2.com. [207.182.138.78], dsn=4.0.0,
> stat=Deferred: Connection timed out with mail1.malibumailz2.com.

To znamena, ze mate ve fronte mail (podle adresy to bude nejspis boucnuty
spam), ktery se sendmail snazi kazdych 5 minut (? vy bezite sendmail
s -q5m?) odeslat.

> Toto mi vypise netstat -ap
>  tcp        0      1 domena.cz:1163             207.182.138.78:smtp     SYN_SENT    2168/h7E9Zeu00831 
> 
> Toto mi vypise ps -ef
> root      2194   729  0 11:16 ?        00:00:00 sendmail: ./h7E9Zeu00831 mail2.malibumailz2.com.: user open

To jen potvrzuje, ze se vas pocitac pokousi marne odeslat nejaky mail.

> Mam obavy, ze je mam haknuty server a ten se kazdych 5min pokousi
> odeslat mail.

Druha pulka je urcite pravda. Prvni pulka je mozna take pravda, ale to se
z poskytnutych informaci rict neda.

> Zastavil jsem vsechny sluzby, ktere by s tim mohly mit co do cinene a
> porad mi to naskakuje.

Zastavil jste cely sendmail? Jmenovite pid 729?

> Dokonce jsem na brane do mistni site zakazal vyse uvedenou IP ale
> porad....nerad.:o)

Vzhledem k tomu, ze je to vas pocitac, co se snazi neco odeslat, tak
akorat posichrujete to, ze to v te fronte bude dal viset.

> Zkousel jsem najit na disku retezec "h7E9Zeu00831", ale nejak se mi
> nevede. Grep neprohledava subaddr......

Co tim chtel basnik rict, ze "grep neprohledava subaddr"?

Doporucil bych se podivat do /var/spool/mqueue (nebo jak se to jmenuje),
tak by mohly byt soubory podobneho jmena. Nejspis tam najdete ten mail, co
se to snazi odeslat. Kdyz se do nej podivat, tak zjistite, odkud se vzal.
(Tedy je pravda, ze verze sendmailu, co jsem znal, pouzivaly stylove
trochu jina jmena souboru, ale mozna, ze je to u novejsich verzi takhle.)

A take byste si mohl precist dokumentaci k sendmailu (a za trest, ze
jste si ji zjevne nenastudoval pred tim, nez otravujete v konferenci, se
nazpamet naucite syntaxi prepisovacich pravidel a stokrat ji opisete <g>).

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux