<div dir="ltr">Ahoj,<div><br></div><div>ja som mal (mozno este aj mam) podobny problem a jedna z veci, co som nasiel bol Perl script, ktory mi strcili do Wordpressu, volal sa main.css a startoval si vlastny SMTP server, takze ani nepotreboval beziaci SMTP server na VPS a posielal pravidelne spam. Skus checknut po niecom podobnom, ja som to objavil monitorovanim procesov a studovanim kazdej veci, co sa mi nezdala.</div><div><br></div><div>Rene</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-02-25 21:11 GMT+00:00 Ján Raška <span dir="ltr"><<a href="mailto:raskaj@gmail.com" target="_blank">raskaj@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Zdravim,<div><br></div><div>potreboval by som pomoct/poradit s nasledovnym problemom. Na VPS mi bezi SMTP cez Postfix + Amavis + Spamassasin + ClamAV. Minuly tyzden sa moja VPS objavila v CBL listingu, skontroloval som mail logy, nic extra podozrive som nenasiel, ale pre istotu som sprisnil nastavenia v amavis-e a poziadal o delisting. Po 3 dnoch sa tam objavila znovu. Nakolko som opat v logoch nic specialne podozrive nenasiel (pokusy samozrejme su, ale drvivu vacsinu odpazi reject na <a href="http://zen.spamhaus.org" target="_blank">zen.spamhaus.org</a> a o zvysok sa postara spamassasin), tak som im napisal ze ci mi vedia povedat v com je problem. Dostal som takuto odpoved:</div><div><br></div><div>=====</div><div>77.93.223.207 was found to be using several different EHLO/HELO names during<br>multiple connections on or about:<br><br>2015:02:24 ~09:00 UTC+/- 15 minutes (approximately 1 days, 5 hours, 44 minutes ago).<br><br>The names seen included:<br><br><span style="white-space:pre-wrap">       </span><a href="http://517mat.com" target="_blank">517mat.com</a>, <a href="http://cityofanderson.com" target="_blank">cityofanderson.com</a>, <a href="http://claytonsheriff.com" target="_blank">claytonsheriff.com</a>, <a href="http://decivitate.ee" target="_blank">decivitate.ee</a>, <a href="http://easysaigon.com" target="_blank">easysaigon.com</a>, <a href="http://inhga.ro" target="_blank">inhga.ro</a>, <a href="http://institutoautor.org" target="_blank">institutoautor.org</a>, <a href="http://ituudised.ee" target="_blank">ituudised.ee</a>, <a href="http://lala-and-roo.com" target="_blank">lala-and-roo.com</a>, <a href="http://lbg-studio.com" target="_blank">lbg-studio.com</a>, <a href="http://maikotakeda.com" target="_blank">maikotakeda.com</a><br><br>Note that the above list may include one or more names that are not<br>fully qualified DNS names (FQDNs).  Host names (ie: Windows node names)<br>without a dot are not FQDNs.</div><div>=====</div><div><br></div><div>Nuz a tu som v koncoch, pretoze postfix mam samozrejme nastaveny spravne, aby posielal ako HELO hostname servera ktory sedi s reverznym DNS. Preliezol som vsetky logy a o spomenutych domenach nikde ani zmienky. Takze jedine co mi napada je, ze sa mi do VPS dostal nejaky cervicek ktory tie spamy posiela svojou cestou a pri HELO uvadza vyssie spomenute domeny, problem je ze neviem zistit co to je a kde je a teda ho ani odstranit. Skusal som si cez nmap zistit ci tam nemam nechtiac nejake open proxy, ale toto vyzera byt v poriadku. Nenapada niekoho co by to mohlo byt, prip. ako prist na kamen urazu? Prip. bol by niekto ochotny sa mi na to pozriet a fixnut to? Moje admin znalosti su totiz v koncoch. Samozrejme nechcem to bezplatne, ak by sa niekto na to chcel podujat, napiste mi osobne a isto sa dohodneme.</div><div><br></div><div>Diki moc</div><div><br></div><div>Jano</div></div><br>_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
<br></blockquote></div><br></div>