25 Feb
2015
25 Feb
'15
9:11 p.m.
Zdravim,
potreboval by som pomoct/poradit s nasledovnym problemom. Na VPS mi bezi SMTP cez Postfix
+ Amavis + Spamassasin + ClamAV. Minuly tyzden sa moja VPS objavila v CBL listingu,
skontroloval som mail logy, nic extra podozrive som nenasiel, ale pre istotu som sprisnil
nastavenia v amavis-e a poziadal o delisting. Po 3 dnoch sa tam objavila znovu. Nakolko
som opat v logoch nic specialne podozrive nenasiel (pokusy samozrejme su, ale drvivu
vacsinu odpazi reject na zen.spamhaus.org <http://zen.spamhaus.org/> a o zvysok sa
postara spamassasin), tak som im napisal ze ci mi vedia povedat v com je problem. Dostal
som takuto odpoved:
=====
77.93.223.207 was found to be using several different EHLO/HELO names during
multiple connections on or about:
2015:02:24 ~09:00 UTC+/- 15 minutes (approximately 1 days, 5 hours, 44 minutes ago).
The names seen included:
517mat.com <http://517mat.com/>, cityofanderson.com
<http://cityofanderson.com/>, claytonsheriff.com <http://claytonsheriff.com/>,
decivitate.ee, easysaigon.com <http://easysaigon.com/>, inhga.ro, institutoautor.org
<http://institutoautor.org/>, ituudised.ee, lala-and-roo.com
<http://lala-and-roo.com/>, lbg-studio.com <http://lbg-studio.com/>,
maikotakeda.com <http://maikotakeda.com/>
Note that the above list may include one or more names that are not
fully qualified DNS names (FQDNs). Host names (ie: Windows node names)
without a dot are not FQDNs.
=====
Nuz a tu som v koncoch, pretoze postfix mam samozrejme nastaveny spravne, aby posielal ako
HELO hostname servera ktory sedi s reverznym DNS. Preliezol som vsetky logy a o
spomenutych domenach nikde ani zmienky. Takze jedine co mi napada je, ze sa mi do VPS
dostal nejaky cervicek ktory tie spamy posiela svojou cestou a pri HELO uvadza vyssie
spomenute domeny, problem je ze neviem zistit co to je a kde je a teda ho ani odstranit.
Skusal som si cez nmap zistit ci tam nemam nechtiac nejake open proxy, ale toto vyzera byt
v poriadku. Nenapada niekoho co by to mohlo byt, prip. ako prist na kamen urazu? Prip. bol
by niekto ochotny sa mi na to pozriet a fixnut to? Moje admin znalosti su totiz v koncoch.
Samozrejme nechcem to bezplatne, ak by sa niekto na to chcel podujat, napiste mi osobne a
isto sa dohodneme.
Diki moc
Jano
25 Feb
25 Feb
9:24 p.m.
Ahoj,
ja som mal (mozno este aj mam) podobny problem a jedna z veci, co som
nasiel bol Perl script, ktory mi strcili do Wordpressu, volal sa main.css a
startoval si vlastny SMTP server, takze ani nepotreboval beziaci SMTP
server na VPS a posielal pravidelne spam. Skus checknut po niecom podobnom,
ja som to objavil monitorovanim procesov a studovanim kazdej veci, co sa mi
nezdala.
Rene
2015-02-25 21:11 GMT+00:00 Ján Raška <raskaj(a)gmail.com>om>:
Zdravim,
potreboval by som pomoct/poradit s nasledovnym problemom. Na VPS mi bezi
SMTP cez Postfix + Amavis + Spamassasin + ClamAV. Minuly tyzden sa moja VPS
objavila v CBL listingu, skontroloval som mail logy, nic extra podozrive
som nenasiel, ale pre istotu som sprisnil nastavenia v amavis-e a poziadal
o delisting. Po 3 dnoch sa tam objavila znovu. Nakolko som opat v logoch
nic specialne podozrive nenasiel (pokusy samozrejme su, ale drvivu vacsinu
odpazi reject na zen.spamhaus.org a o zvysok sa postara spamassasin), tak
som im napisal ze ci mi vedia povedat v com je problem. Dostal som takuto
odpoved:
=====
77.93.223.207 was found to be using several different EHLO/HELO names
during
multiple connections on or about:
2015:02:24 ~09:00 UTC+/- 15 minutes (approximately 1 days, 5 hours, 44
minutes ago).
The names seen included:
517mat.com, cityofanderson.com, claytonsheriff.com, decivitate.ee,
easysaigon.com, inhga.ro, institutoautor.org, ituudised.ee,
lala-and-roo.com, lbg-studio.com, maikotakeda.com
Note that the above list may include one or more names that are not
fully qualified DNS names (FQDNs). Host names (ie: Windows node names)
without a dot are not FQDNs.
=====
Nuz a tu som v koncoch, pretoze postfix mam samozrejme nastaveny spravne,
aby posielal ako HELO hostname servera ktory sedi s reverznym DNS.
Preliezol som vsetky logy a o spomenutych domenach nikde ani zmienky. Takze
jedine co mi napada je, ze sa mi do VPS dostal nejaky cervicek ktory tie
spamy posiela svojou cestou a pri HELO uvadza vyssie spomenute domeny,
problem je ze neviem zistit co to je a kde je a teda ho ani odstranit.
Skusal som si cez nmap zistit ci tam nemam nechtiac nejake open proxy, ale
toto vyzera byt v poriadku. Nenapada niekoho co by to mohlo byt, prip. ako
prist na kamen urazu? Prip. bol by niekto ochotny sa mi na to pozriet a
fixnut to? Moje admin znalosti su totiz v koncoch. Samozrejme nechcem to
bezplatne, ak by sa niekto na to chcel podujat, napiste mi osobne a isto sa
dohodneme.
Diki moc
Jano
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
9:27 p.m.
Zkusit projet maldetem?
https://www.rfxn.com/projects/linux-malware-detect/
Dne 25.2.2015 v 22:24 René Klačan napsal(a):
Ahoj,
ja som mal (mozno este aj mam) podobny problem a jedna z veci, co som
nasiel bol Perl script, ktory mi strcili do Wordpressu, volal sa
main.css a startoval si vlastny SMTP server, takze ani nepotreboval
beziaci SMTP server na VPS a posielal pravidelne spam. Skus checknut po
niecom podobnom, ja som to objavil monitorovanim procesov a studovanim
kazdej veci, co sa mi nezdala.
Rene
2015-02-25 21:11 GMT+00:00 Ján Raška <raskaj(a)gmail.com
<mailto:raskaj@gmail.com>>:
Zdravim,
potreboval by som pomoct/poradit s nasledovnym problemom. Na VPS mi
bezi SMTP cez Postfix + Amavis + Spamassasin + ClamAV. Minuly tyzden
sa moja VPS objavila v CBL listingu, skontroloval som mail logy, nic
extra podozrive som nenasiel, ale pre istotu som sprisnil nastavenia
v amavis-e a poziadal o delisting. Po 3 dnoch sa tam objavila znovu.
Nakolko som opat v logoch nic specialne podozrive nenasiel (pokusy
samozrejme su, ale drvivu vacsinu odpazi reject na zen.spamhaus.org
<http://zen.spamhaus.org> a o zvysok sa postara spamassasin), tak
som im napisal ze ci mi vedia povedat v com je problem. Dostal som
takuto odpoved:
=====
77.93.223.207 was found to be using several different EHLO/HELO
names during
multiple connections on or about:
2015:02:24 ~09:00 UTC+/- 15 minutes (approximately 1 days, 5 hours,
44 minutes ago).
The names seen included:
517mat.com <http://517mat.com>, cityofanderson.com
<http://cityofanderson.com>, claytonsheriff.com
<http://claytonsheriff.com>, decivitate.ee
<http://decivitate.ee>, easysaigon.com <http://easysaigon.com>,
inhga.ro <http://inhga.ro>, institutoautor.org
<http://institutoautor.org>, ituudised.ee
<http://ituudised.ee>, lala-and-roo.com
<http://lala-and-roo.com>, lbg-studio.com
<http://lbg-studio.com>, maikotakeda.com <http://maikotakeda.com>
Note that the above list may include one or more names that are not
fully qualified DNS names (FQDNs). Host names (ie: Windows node names)
without a dot are not FQDNs.
=====
Nuz a tu som v koncoch, pretoze postfix mam samozrejme nastaveny
spravne, aby posielal ako HELO hostname servera ktory sedi s
reverznym DNS. Preliezol som vsetky logy a o spomenutych domenach
nikde ani zmienky. Takze jedine co mi napada je, ze sa mi do VPS
dostal nejaky cervicek ktory tie spamy posiela svojou cestou a pri
HELO uvadza vyssie spomenute domeny, problem je ze neviem zistit co
to je a kde je a teda ho ani odstranit. Skusal som si cez nmap
zistit ci tam nemam nechtiac nejake open proxy, ale toto vyzera byt
v poriadku. Nenapada niekoho co by to mohlo byt, prip. ako prist na
kamen urazu? Prip. bol by niekto ochotny sa mi na to pozriet a
fixnut to? Moje admin znalosti su totiz v koncoch. Samozrejme
nechcem to bezplatne, ak by sa niekto na to chcel podujat, napiste
mi osobne a isto sa dohodneme.
26 Feb
26 Feb
10:01 a.m.
Ahoj,
mam cas, muzu se ti na to mrknout a myslim ze to budu mit za chvilku
vyreseny urco tam bude skript kterej to posila mimo postfix staci ho jen
najit. jabber: tth(a)rfa.cz
--
S pozdravem
Tomas Herceg
Red Hat Certified Engineer 111-070-975
http://www.wallpaper.cz/
On 2015-02-25 22:11, Ján Raška wrote:
Zdravim,
potreboval by som pomoct/poradit s nasledovnym problemom. Na VPS mi
bezi SMTP cez Postfix + Amavis + Spamassasin + ClamAV. Minuly tyzden
sa moja VPS objavila v CBL listingu, skontroloval som mail logy, nic
extra podozrive som nenasiel, ale pre istotu som sprisnil nastavenia v
amavis-e a poziadal o delisting. Po 3 dnoch sa tam objavila znovu.
Nakolko som opat v logoch nic specialne podozrive nenasiel (pokusy
samozrejme su, ale drvivu vacsinu odpazi reject na zen.spamhaus.org
[1] a o zvysok sa postara spamassasin), tak som im napisal ze ci mi
vedia povedat v com je problem. Dostal som takuto odpoved:
=====
77.93.223.207 was found to be using several different EHLO/HELO names
during
multiple connections on or about:
2015:02:24 ~09:00 UTC+/- 15 minutes (approximately 1 days, 5 hours, 44
minutes ago).
The names seen included:
517mat.com [2], cityofanderson.com [3], claytonsheriff.com [4],
decivitate.ee, easysaigon.com [5], inhga.ro, institutoautor.org [6],
ituudised.ee, lala-and-roo.com [7], lbg-studio.com [8],
maikotakeda.com [9]
Note that the above list may include one or more names that are not
fully qualified DNS names (FQDNs). Host names (ie: Windows node names)
without a dot are not FQDNs.
=====
Nuz a tu som v koncoch, pretoze postfix mam samozrejme nastaveny
spravne, aby posielal ako HELO hostname servera ktory sedi s reverznym
DNS. Preliezol som vsetky logy a o spomenutych domenach nikde ani
zmienky. Takze jedine co mi napada je, ze sa mi do VPS dostal nejaky
cervicek ktory tie spamy posiela svojou cestou a pri HELO uvadza
vyssie spomenute domeny, problem je ze neviem zistit co to je a kde je
a teda ho ani odstranit. Skusal som si cez nmap zistit ci tam nemam
nechtiac nejake open proxy, ale toto vyzera byt v poriadku. Nenapada
niekoho co by to mohlo byt, prip. ako prist na kamen urazu? Prip. bol
by niekto ochotny sa mi na to pozriet a fixnut to? Moje admin znalosti
su totiz v koncoch. Samozrejme nechcem to bezplatne, ak by sa niekto
na to chcel podujat, napiste mi osobne a isto sa dohodneme.
Diki moc
Jano
Links:
------
[1] http://zen.spamhaus.org
[2] http://517mat.com
[3] http://cityofanderson.com
[4] http://claytonsheriff.com
[5] http://easysaigon.com
[6] http://institutoautor.org
[7] http://lala-and-roo.com
[8] http://lbg-studio.com
[9] http://maikotakeda.com
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
3550
days inactive
3551
days old
community-list@lists.vpsfree.cz
3 comments
4 participants
participants (4)
-
Ján Raška -
René Klačan -
Tomáš Herceg -
Vaclav Dusek