[vpsFree.cz: community-list] Problem so spamom
Vaclav Dusek
Vaclav.Dusek at cz-pro.cz
Wed Feb 25 22:27:45 CET 2015
Zkusit projet maldetem?
https://www.rfxn.com/projects/linux-malware-detect/
Dne 25.2.2015 v 22:24 René Klačan napsal(a):
> Ahoj,
>
> ja som mal (mozno este aj mam) podobny problem a jedna z veci, co som
> nasiel bol Perl script, ktory mi strcili do Wordpressu, volal sa
> main.css a startoval si vlastny SMTP server, takze ani nepotreboval
> beziaci SMTP server na VPS a posielal pravidelne spam. Skus checknut po
> niecom podobnom, ja som to objavil monitorovanim procesov a studovanim
> kazdej veci, co sa mi nezdala.
>
> Rene
>
> 2015-02-25 21:11 GMT+00:00 Ján Raška <raskaj at gmail.com
> <mailto:raskaj at gmail.com>>:
>
> Zdravim,
>
> potreboval by som pomoct/poradit s nasledovnym problemom. Na VPS mi
> bezi SMTP cez Postfix + Amavis + Spamassasin + ClamAV. Minuly tyzden
> sa moja VPS objavila v CBL listingu, skontroloval som mail logy, nic
> extra podozrive som nenasiel, ale pre istotu som sprisnil nastavenia
> v amavis-e a poziadal o delisting. Po 3 dnoch sa tam objavila znovu.
> Nakolko som opat v logoch nic specialne podozrive nenasiel (pokusy
> samozrejme su, ale drvivu vacsinu odpazi reject na zen.spamhaus.org
> <http://zen.spamhaus.org> a o zvysok sa postara spamassasin), tak
> som im napisal ze ci mi vedia povedat v com je problem. Dostal som
> takuto odpoved:
>
> =====
> 77.93.223.207 was found to be using several different EHLO/HELO
> names during
> multiple connections on or about:
>
> 2015:02:24 ~09:00 UTC+/- 15 minutes (approximately 1 days, 5 hours,
> 44 minutes ago).
>
> The names seen included:
>
> 517mat.com <http://517mat.com>, cityofanderson.com
> <http://cityofanderson.com>, claytonsheriff.com
> <http://claytonsheriff.com>, decivitate.ee
> <http://decivitate.ee>, easysaigon.com <http://easysaigon.com>,
> inhga.ro <http://inhga.ro>, institutoautor.org
> <http://institutoautor.org>, ituudised.ee
> <http://ituudised.ee>, lala-and-roo.com
> <http://lala-and-roo.com>, lbg-studio.com
> <http://lbg-studio.com>, maikotakeda.com <http://maikotakeda.com>
>
> Note that the above list may include one or more names that are not
> fully qualified DNS names (FQDNs). Host names (ie: Windows node names)
> without a dot are not FQDNs.
> =====
>
> Nuz a tu som v koncoch, pretoze postfix mam samozrejme nastaveny
> spravne, aby posielal ako HELO hostname servera ktory sedi s
> reverznym DNS. Preliezol som vsetky logy a o spomenutych domenach
> nikde ani zmienky. Takze jedine co mi napada je, ze sa mi do VPS
> dostal nejaky cervicek ktory tie spamy posiela svojou cestou a pri
> HELO uvadza vyssie spomenute domeny, problem je ze neviem zistit co
> to je a kde je a teda ho ani odstranit. Skusal som si cez nmap
> zistit ci tam nemam nechtiac nejake open proxy, ale toto vyzera byt
> v poriadku. Nenapada niekoho co by to mohlo byt, prip. ako prist na
> kamen urazu? Prip. bol by niekto ochotny sa mi na to pozriet a
> fixnut to? Moje admin znalosti su totiz v koncoch. Samozrejme
> nechcem to bezplatne, ak by sa niekto na to chcel podujat, napiste
> mi osobne a isto sa dohodneme.
More information about the Community-list
mailing list