Zdravim,
potreboval by som pomoct/poradit s nasledovnym problemom. Na VPS mi bezi SMTP cez Postfix + Amavis + Spamassasin + ClamAV. Minuly tyzden sa moja VPS objavila v CBL listingu, skontroloval som mail logy, nic extra podozrive som nenasiel, ale pre istotu som sprisnil nastavenia v amavis-e a poziadal o delisting. Po 3 dnoch sa tam objavila znovu. Nakolko som opat v logoch nic specialne podozrive nenasiel (pokusy samozrejme su, ale drvivu vacsinu odpazi reject na zen.spamhaus.org http://zen.spamhaus.org/ a o zvysok sa postara spamassasin), tak som im napisal ze ci mi vedia povedat v com je problem. Dostal som takuto odpoved:
===== 77.93.223.207 was found to be using several different EHLO/HELO names during multiple connections on or about:
2015:02:24 ~09:00 UTC+/- 15 minutes (approximately 1 days, 5 hours, 44 minutes ago).
The names seen included:
517mat.com http://517mat.com/, cityofanderson.com http://cityofanderson.com/, claytonsheriff.com http://claytonsheriff.com/, decivitate.ee, easysaigon.com http://easysaigon.com/, inhga.ro, institutoautor.org http://institutoautor.org/, ituudised.ee, lala-and-roo.com http://lala-and-roo.com/, lbg-studio.com http://lbg-studio.com/, maikotakeda.com http://maikotakeda.com/
Note that the above list may include one or more names that are not fully qualified DNS names (FQDNs). Host names (ie: Windows node names) without a dot are not FQDNs. =====
Nuz a tu som v koncoch, pretoze postfix mam samozrejme nastaveny spravne, aby posielal ako HELO hostname servera ktory sedi s reverznym DNS. Preliezol som vsetky logy a o spomenutych domenach nikde ani zmienky. Takze jedine co mi napada je, ze sa mi do VPS dostal nejaky cervicek ktory tie spamy posiela svojou cestou a pri HELO uvadza vyssie spomenute domeny, problem je ze neviem zistit co to je a kde je a teda ho ani odstranit. Skusal som si cez nmap zistit ci tam nemam nechtiac nejake open proxy, ale toto vyzera byt v poriadku. Nenapada niekoho co by to mohlo byt, prip. ako prist na kamen urazu? Prip. bol by niekto ochotny sa mi na to pozriet a fixnut to? Moje admin znalosti su totiz v koncoch. Samozrejme nechcem to bezplatne, ak by sa niekto na to chcel podujat, napiste mi osobne a isto sa dohodneme.
Diki moc
Jano
Ahoj,
ja som mal (mozno este aj mam) podobny problem a jedna z veci, co som nasiel bol Perl script, ktory mi strcili do Wordpressu, volal sa main.css a startoval si vlastny SMTP server, takze ani nepotreboval beziaci SMTP server na VPS a posielal pravidelne spam. Skus checknut po niecom podobnom, ja som to objavil monitorovanim procesov a studovanim kazdej veci, co sa mi nezdala.
Rene
2015-02-25 21:11 GMT+00:00 Ján Raška raskaj@gmail.com:
Zdravim,
potreboval by som pomoct/poradit s nasledovnym problemom. Na VPS mi bezi SMTP cez Postfix + Amavis + Spamassasin + ClamAV. Minuly tyzden sa moja VPS objavila v CBL listingu, skontroloval som mail logy, nic extra podozrive som nenasiel, ale pre istotu som sprisnil nastavenia v amavis-e a poziadal o delisting. Po 3 dnoch sa tam objavila znovu. Nakolko som opat v logoch nic specialne podozrive nenasiel (pokusy samozrejme su, ale drvivu vacsinu odpazi reject na zen.spamhaus.org a o zvysok sa postara spamassasin), tak som im napisal ze ci mi vedia povedat v com je problem. Dostal som takuto odpoved:
===== 77.93.223.207 was found to be using several different EHLO/HELO names during multiple connections on or about:
2015:02:24 ~09:00 UTC+/- 15 minutes (approximately 1 days, 5 hours, 44 minutes ago).
The names seen included:
517mat.com, cityofanderson.com, claytonsheriff.com, decivitate.ee, easysaigon.com, inhga.ro, institutoautor.org, ituudised.ee, lala-and-roo.com, lbg-studio.com, maikotakeda.com
Note that the above list may include one or more names that are not fully qualified DNS names (FQDNs). Host names (ie: Windows node names) without a dot are not FQDNs. =====
Nuz a tu som v koncoch, pretoze postfix mam samozrejme nastaveny spravne, aby posielal ako HELO hostname servera ktory sedi s reverznym DNS. Preliezol som vsetky logy a o spomenutych domenach nikde ani zmienky. Takze jedine co mi napada je, ze sa mi do VPS dostal nejaky cervicek ktory tie spamy posiela svojou cestou a pri HELO uvadza vyssie spomenute domeny, problem je ze neviem zistit co to je a kde je a teda ho ani odstranit. Skusal som si cez nmap zistit ci tam nemam nechtiac nejake open proxy, ale toto vyzera byt v poriadku. Nenapada niekoho co by to mohlo byt, prip. ako prist na kamen urazu? Prip. bol by niekto ochotny sa mi na to pozriet a fixnut to? Moje admin znalosti su totiz v koncoch. Samozrejme nechcem to bezplatne, ak by sa niekto na to chcel podujat, napiste mi osobne a isto sa dohodneme.
Diki moc
Jano
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Zkusit projet maldetem?
https://www.rfxn.com/projects/linux-malware-detect/
Dne 25.2.2015 v 22:24 René Klačan napsal(a):
Ahoj,
ja som mal (mozno este aj mam) podobny problem a jedna z veci, co som nasiel bol Perl script, ktory mi strcili do Wordpressu, volal sa main.css a startoval si vlastny SMTP server, takze ani nepotreboval beziaci SMTP server na VPS a posielal pravidelne spam. Skus checknut po niecom podobnom, ja som to objavil monitorovanim procesov a studovanim kazdej veci, co sa mi nezdala.
Rene
2015-02-25 21:11 GMT+00:00 Ján Raška <raskaj@gmail.com mailto:raskaj@gmail.com>:
Zdravim, potreboval by som pomoct/poradit s nasledovnym problemom. Na VPS mi bezi SMTP cez Postfix + Amavis + Spamassasin + ClamAV. Minuly tyzden sa moja VPS objavila v CBL listingu, skontroloval som mail logy, nic extra podozrive som nenasiel, ale pre istotu som sprisnil nastavenia v amavis-e a poziadal o delisting. Po 3 dnoch sa tam objavila znovu. Nakolko som opat v logoch nic specialne podozrive nenasiel (pokusy samozrejme su, ale drvivu vacsinu odpazi reject na zen.spamhaus.org <http://zen.spamhaus.org> a o zvysok sa postara spamassasin), tak som im napisal ze ci mi vedia povedat v com je problem. Dostal som takuto odpoved: ===== 77.93.223.207 was found to be using several different EHLO/HELO names during multiple connections on or about: 2015:02:24 ~09:00 UTC+/- 15 minutes (approximately 1 days, 5 hours, 44 minutes ago). The names seen included: 517mat.com <http://517mat.com>, cityofanderson.com <http://cityofanderson.com>, claytonsheriff.com <http://claytonsheriff.com>, decivitate.ee <http://decivitate.ee>, easysaigon.com <http://easysaigon.com>, inhga.ro <http://inhga.ro>, institutoautor.org <http://institutoautor.org>, ituudised.ee <http://ituudised.ee>, lala-and-roo.com <http://lala-and-roo.com>, lbg-studio.com <http://lbg-studio.com>, maikotakeda.com <http://maikotakeda.com> Note that the above list may include one or more names that are not fully qualified DNS names (FQDNs). Host names (ie: Windows node names) without a dot are not FQDNs. ===== Nuz a tu som v koncoch, pretoze postfix mam samozrejme nastaveny spravne, aby posielal ako HELO hostname servera ktory sedi s reverznym DNS. Preliezol som vsetky logy a o spomenutych domenach nikde ani zmienky. Takze jedine co mi napada je, ze sa mi do VPS dostal nejaky cervicek ktory tie spamy posiela svojou cestou a pri HELO uvadza vyssie spomenute domeny, problem je ze neviem zistit co to je a kde je a teda ho ani odstranit. Skusal som si cez nmap zistit ci tam nemam nechtiac nejake open proxy, ale toto vyzera byt v poriadku. Nenapada niekoho co by to mohlo byt, prip. ako prist na kamen urazu? Prip. bol by niekto ochotny sa mi na to pozriet a fixnut to? Moje admin znalosti su totiz v koncoch. Samozrejme nechcem to bezplatne, ak by sa niekto na to chcel podujat, napiste mi osobne a isto sa dohodneme.
Ahoj, mam cas, muzu se ti na to mrknout a myslim ze to budu mit za chvilku vyreseny urco tam bude skript kterej to posila mimo postfix staci ho jen najit. jabber: tth@rfa.cz
community-list@lists.vpsfree.cz
-
Ján Raška -
René Klačan -
Tomáš Herceg -
Vaclav Dusek