Re: Problem se spamem
|
To |
Debian CZ/SK project discussion list <czdebian-l zavinac debian bod cz> |
|
From |
bodik <bodik zavinac civ bod zcu bod cz> |
|
Date |
Mon, 20 Mar 2006 10:07:29 +0100 |
|
User-agent |
Debian Thunderbird 1.0.7 (X11/20051017) |
Jiří Červenka wrote:
Zdravim vsechny,
stala se mi nemila vec. Nekdo zacal muj mailovy server pouzivat k
rozesilani spamu. V logu se najednou objevilo ze uzivatel www-data (muj
uzivatel pod kterym bezi apache) posila maily na vsechny strany. Zaroven
mi zacaly chodit stiznosti na muj server(Debian sarge). Jako postaka
pouzivam postfix spolu s amavisd-new+spamassassin+nod32, ktery postu
preposila na mercury mail server na stroji s netware5, ktery ji pak
rozdeluje do schranek.
Nevim kde bych mel zacit s hledanim problemu.
* zacal bych prohlednutim /var/log/auth.log na vzdaleny pristup
(to ze by nekdo haknul stroj pres toho apache a potom chodil trebas
pres ssh)
* netstat, ps (kouknout jestli neni na stroji neco podezreleho)
* potom proveril cely stroj nejakym rootkit hledacem (rkhunter, ...
* a potom se podival jestli nemate na strankach nejaky spatne napsany
php skript umoznujici odeslat email (me se to stalo ze kolegove
spatne zabezpecili formular a nechalo se jednoduse poslat v GETu
pole $mailto .. ;) .. pak se to posila jedna basen
tohle by se ukazalo tez v access logu od apache.
(tohle bych mozna udelal nejdriv ;)
P.S: rekl bych ze spamasasin nepomuze, nekontroluje ten jenom prichozi
postu ? (tedy v defaultnim nastaveni?)
Partial thread listing: