EOMY.NET
Хостинг EOMY.NET: Форум поддержки
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
RSS Feed  

Mail

 
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Администрирование серверов
Mail
Автор Сообщение
Артур
11 1110 1000
11 1110 1000


Зарегистрирован: 22.01.2008
Сообщения: 1151
Откуда: Lietuva
6383 Монеты
СообщениеДобавлено: Вс, 24 Янв, 2010 10:42    Заголовок сообщения: Mail Ответить с цитатой
У меня возникла проблемма
За последние 2 дня от пользователем root было отпраленно 1780 писем.

Вопрос:
Как выяснить что именно отправляет?

(CentOS)
_________________
Скрипты [PHP/JS] на заказ, в ЛС, недорого.

SAPE
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 3760

157905 Монеты
СообщениеДобавлено: Вс, 24 Янв, 2010 11:34    Заголовок сообщения: Ответить с цитатой
Читайте логи mta и логи вебсервера.
_________________
сервис DNS | разные http, DNS и прочие утилиты
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Артур
11 1110 1000
11 1110 1000


Зарегистрирован: 22.01.2008
Сообщения: 1151
Откуда: Lietuva
6383 Монеты
СообщениеДобавлено: Вс, 24 Янв, 2010 13:06    Заголовок сообщения: Ответить с цитатой
Почтовы лог почти весь состоит из

Код:
Jan 24 09:30:02 aeroos qmail: 1264332602.103901 new msg 20386487
Jan 24 09:30:02 aeroos qmail: 1264332602.104131 info msg 20386487: bytes 755 from <anonymous@Artur.Artur> qp 24119 uid 0
Jan 24 09:30:02 aeroos qmail: 1264332602.153120 starting delivery 4: msg 20386487 to remote root@Artur.Artur
Jan 24 09:30:02 aeroos qmail: 1264332602.153502 status: local 0/10 remote 1/60
Jan 24 09:30:02 aeroos qmail: 1264332602.166228 delivery 4: failure: Sorry,_I_couldn't_find_any_host_named_Artur.Artur._(#5.1.2)/
Jan 24 09:30:02 aeroos qmail: 1264332602.166665 status: local 0/10 remote 0/60
Jan 24 09:30:02 aeroos qmail: 1264332602.174093 bounce msg 20386487 qp 24123
Jan 24 09:30:02 aeroos qmail: 1264332602.174382 end msg 20386487
Jan 24 09:30:02 aeroos qmail: 1264332602.174984 new msg 20386490
Jan 24 09:30:02 aeroos qmail: 1264332602.175051 info msg 20386490: bytes 1292 from <> qp 24124 uid 206
Jan 24 09:30:02 aeroos qmail: 1264332602.183935 starting delivery 5: msg 20386490 to remote anonymous@Artur.Artur
Jan 24 09:30:02 aeroos qmail: 1264332602.184053 status: local 0/10 remote 1/60
Jan 24 09:30:02 aeroos qmail: 1264332602.216349 delivery 5: failure: Sorry,_I_couldn't_find_any_host_named_Artur.Artur._(#5.1.2)/
Jan 24 09:30:02 aeroos qmail: 1264332602.216821 status: local 0/10 remote 0/60
Jan 24 09:30:02 aeroos qmail: 1264332602.263248 bounce msg 20386490 qp 24126
Jan 24 09:30:02 aeroos qmail: 1264332602.263612 end msg 20386490
Jan 24 09:30:02 aeroos qmail: 1264332602.264425 new msg 20386488
Jan 24 09:30:02 aeroos qmail: 1264332602.264519 info msg 20386488: bytes 1738 from <#@[]> qp 24127 uid 206
Jan 24 09:30:02 aeroos qmail: 1264332602.302262 starting delivery 6: msg 20386488 to remote postmaster@Artur
Jan 24 09:30:02 aeroos qmail: 1264332602.302444 status: local 0/10 remote 1/60
Jan 24 09:30:02 aeroos qmail: 1264332602.313771 delivery 6: failure: Sorry,_I_couldn't_find_any_host_named_Artur._(#5.1.2)/
Jan 24 09:30:02 aeroos qmail: 1264332602.324811 status: local 0/10 remote 0/60
Jan 24 09:30:02 aeroos qmail: 1264332602.324896 triple bounce: discarding bounce/20386488
Jan 24 09:30:02 aeroos qmail: 1264332602.324934 end msg 20386488
Jan 24 10:30:02 aeroos logger: lx-sending mail for root


А вот лог Вебсервера почти весь из попыток взлома хак ботами.
1. место по поулярности Remote Include (У меня отключён)
2. Заливка шела/PHP иньекция (Мало вероятна на самом дырявом сайте стоит злобный фильтр который всё режет а на нормальных нет таких уязвимостей)
2. SQL иньекции (Как и с "Заливка шела/PHP иньекция")
3.Всякие мелкие пакости
(
Код:
206.135.108.5 - - [03/Sep/2009:14:59:11 -0700] "GET //README HTTP/1.1" 404 284 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:12 -0700] "GET /horde//README HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:12 -0700] "GET /horde2//README HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:12 -0700] "GET /horde3//README HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:12 -0700] "GET /horde-3.0.5//README HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:12 -0700] "GET /horde-3.0.6//README HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:12 -0700] "GET /horde-3.0.7//README HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:12 -0700] "GET /horde-3.0.8//README HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:12 -0700] "GET /horde-3.0.9//README HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:12 -0700] "GET /mail//README HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:13 -0700] "GET /email//README HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:13 -0700] "GET /webmail//README HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:13 -0700] "GET /newmail//README HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:13 -0700] "GET /mails//README HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.135.108.5 - - [03/Sep/2009:14:59:13 -0700] "GET /mailz//README HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

)

Ну и еще 1 вещь которая привлекла моё внимание:
Код:
212.95.54.169 - - [23/Dec/2009:15:45:05 -0200] "GET /post/%252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525D0%525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525252525BD%................... и так далее (Строк 20)

Кстати сервер отвечает на это 403

Среди всего этого очень сложно найти что нужно.

Лог из этого состоит где-то на 70 процентов.
_________________
Скрипты [PHP/JS] на заказ, в ЛС, недорого.

SAPE
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Администрирование серверов Часовой пояс: GMT
Страница 1 из 1

 


EOMY TOP 100 Rambler's Top100   Рейтинг@Mail.ru    



Powered by phpBB © 2001, 2005 phpBB Group


Рейтинг SIMPLETOP.NET