qmail ismeretlen üzeneteket küld

Linux-haladó

qmail ismeretlen üzeneteket küld

  • 717 megtekintés

( congo v | 2005. 09. 02., p – 11:46 )

Első körben pl. csinálj egy kis "proxy" scriptet ami rögzíti a paramétereket és az STDIN-en kapott dolgokat, aztán lefuttatja a a qmail féle sendmail programot, aztán cseréld ki a rendszerben a sendmail linke(ke)t erre.

( nagyikedvence | 2005. 09. 02., p – 11:53 )

[quote:28b0ede3f9="congo"]Első körben pl. csinálj egy kis "proxy" scriptet ami rögzíti a paramétereket és az STDIN-en kapott dolgokat, aztán lefuttatja a a qmail féle sendmail programot, aztán cseréld ki a rendszerben a sendmail linke(ke)t erre.

Köszönöm, de sajnos nem vagyok túl jártas a shell programozásban.
Tudnál segíteni?

( congo v | 2005. 09. 02., p – 11:57 )

[quote:204a787b5e="nagyikedvence"]Köszönöm, de sajnos nem vagyok túl jártas a shell programozásban.
Tudnál segíteni?

Ha nem haragszol ezt inkább meghagynám Neked, 200.000+ találat van Google-ban a bash scripting guide-ra... :roll:

( nagyikedvence | 2005. 09. 06., k – 13:12 )

Megnéztem ps -fax-al!
De csak ennyi:
qmail-remote yahoo.com.tw 1412hg4l1kg3j@hinet.net alskdha95d@yahoo.com.tw

( congo v | 2005. 09. 06., k – 13:17 )

Azt nem nézted, hogy mi futtatja a qmail-remote-t? Csak mert ez lenne a lényeg ;)
Amúgy nagyon úgy tűnik, hogy spammelnek a gépeden keresztül.

( nagyikedvence | 2005. 09. 06., k – 13:21 )

[quote:4e819fcef1="congo"]Azt nem nézted, hogy mi futtatja a qmail-remote-t? Csak mert ez lenne a lényeg ;)
Amúgy nagyon úgy tűnik, hogy spammelnek a gépeden keresztül.

Igen ez biztos.
Nem írja ps -fax sem. ennyit ír amit az előbb írtam.
Televan már nagyon a t...

( congo v | 2005. 09. 06., k – 13:42 )

Na hát akkor már csak az a kérdés, hogy ki/mi küldi. Ha apache-on keresztül futtatnák, akkor az egyes virtualhostoknak a

php_admin_value sendmail_path "sendmail -f user at domain.com"

opcióval valami azonosítható címet kéne adnod, hogy lásd melyik a bűnös. Ha shellből küldi valami, akkor azt javaslom tedd be a sendmailt egy sendmail csoportba, és akinek engedélyezni akarod a levélküldést az legyen tagja a csoportnak, a többieknek meg -x. De ha valami lokálisan futó processz küldi, akkor régen rossz... :/

Ennyi ötletem volt.

( nagyikedvence | 2005. 09. 06., k – 13:56 )

[quote:abb41ceb2b="congo"]Na hát akkor már csak az a kérdés, hogy ki/mi küldi. Ha apache-on keresztül futtatnák, akkor az egyes virtualhostoknak a

php_admin_value sendmail_path "sendmail -f user at domain.com"

opcióval valami azonosítható címet kéne adnod, hogy lásd melyik a bűnös. Ha shellből küldi valami, akkor azt javaslom tedd be a sendmailt egy sendmail csoportba, és akinek engedélyezni akarod a levélküldést az legyen tagja a csoportnak, a többieknek meg -x. De ha valami lokálisan futó processz küldi, akkor régen rossz... :/

Ennyi ötletem volt.

sendmail-t már próbáltam. Ha nincs sendmail script akkor is megy, ha nincs nyitva 25-ös port akkor is megy. Sajnos valami progi nyomja de hogyan lehet az, hogy nem látni?

( congo v | 2005. 09. 06., k – 14:17 )

Mindkét sendmailt eltüntetted? (/usr/bin & /usr/lib)
Lehet, hogy közvetlenül a qmail-inject-nek adja át.

( nagyikedvence | 2005. 09. 03., szo – 19:59 )

Sajnos nem jött össze!

Valaki esetleg egy új ötlettel?
Annyi biztos, hogy szerveren belül megy...

( sany | 2005. 09. 03., szo – 20:20 )

"Sajnos nem jött össze!"

A keresés? :lol:
rootkit keresés chrootkit,rkhunter?
A Qmail helyett próba postfix-el?

( nagyikedvence | 2005. 09. 04., v – 00:03 )

[quote:7d9c64a7f4="sany"]"Sajnos nem jött össze!"

A keresés? :lol:
rootkit keresés chrootkit,rkhunter?
A Qmail helyett próba postfix-el?

Nincs rootkit.
Nincs lehetőségem próbálkozni másikkal.

( congo v | 2005. 09. 04., v – 02:21 )

ha nem gáz hogy leáll a szerverről induló levelek kézbesítése, akkor vagy egy (nagyon favágó) ötletem...

mellesleg van azon a gépen apache, esetleg shell felhasználók? csak mert ez a kettő állhat a háttérben szvsz :)

( nagyikedvence | 2005. 09. 04., v – 09:32 )

[quote:535064b48b="congo"]ha nem gáz hogy leáll a szerverről induló levelek kézbesítése, akkor vagy egy (nagyon favágó) ötletem...

mellesleg van azon a gépen apache, esetleg shell felhasználók? csak mert ez a kettő állhat a háttérben szvsz :)

Apache van. SSH csak nekem van, más nem léphet be.
Sajnos szükségem van a szerverről induló levelekre. ( PHP )

( nagyikedvence | 2005. 09. 02., p – 11:04 )

Sziasztok!

Probléma a következő:

Az utóbbi napokban Qmail számomra ismeretlen e-mailokat küld halomban. Az üzenetek többsége yahoo.com.tw-re megy vagy valamilyen .com.tw-re.
Ha lezárom a 25-ös portot akkor is megy, ha lezárom a levéltovábbítást, akkor is megy. Tehát valószínű a szerverről küldi valamilyen program.

Meg lehet valahogy tudni, hogy melyik program küldi?

Előre is kösz.