hallo welt!
seit einiger zeit versucht mein rechner immer wieder emails mit einer ip im subject an china9988@21cn.com zu senden. diese mails habe ich vollstaendig geloescht und bin direkt danach bis jetzt ueber meine uni ins internet gegangen, aber gerade sehe ich, da ist schonwieder so eine mail im wartemodus und kann nicht rausgesendet werden, da der dns-name nicht aufgeloest werden kann.
durch suche im netz habe ich nur erfahren, dass das irgendwas mit spam zu tun haben soll, aber das wars leider auch.
habe ich mir da irgendeinen wurm oder so eingefangen? kann mir jemand nen tip geben, in welche richtung ich mal genauer gucken sollte? ich weiss echt nicht weiter.
noch ein paar infos:
provider: t-online
system: suse 7.3
da der rechner als server fungiert sind alle moeglichen dienste eingerichtet (und auch von noeten: http, smtp, pop3, nfs, smb, ...)
danke im vorraus und gruss,
marten
mails an china9988@21cn.com
Re: mails an china9988@21cn.com
Hi.
Kann es sein, daß Dein Mailserver nicht korrekt konfiguriert ist und als Relay für Dritte genutzt werden kann?
Gruß
Marc
Kann es sein, daß Dein Mailserver nicht korrekt konfiguriert ist und als Relay für Dritte genutzt werden kann?
Gruß
Marc
-
marten
Re: mails an china9988@21cn.com
hallo,
ja, sicher, das kann immer sein.
nur was mich etwas wundert, ist dass immer und immer wieder die selbe adresse auftaucht, die nicht aufgeloest werden kann, und, auch dann, wenn ich ueber einen anderen provider, also einen anderen ip-bereich habe. das ist das, was mich stutzig macht.
mir kommt es so vor, als dass diese mail von meinem rechner aus erstellt wird, denn t-online hat so die bereiche um 62.x und meine uni die 141.x.
marten
ja, sicher, das kann immer sein.
nur was mich etwas wundert, ist dass immer und immer wieder die selbe adresse auftaucht, die nicht aufgeloest werden kann, und, auch dann, wenn ich ueber einen anderen provider, also einen anderen ip-bereich habe. das ist das, was mich stutzig macht.
mir kommt es so vor, als dass diese mail von meinem rechner aus erstellt wird, denn t-online hat so die bereiche um 62.x und meine uni die 141.x.
marten
-
marten
Re: mails an china9988@21cn.com
ich nochmal.
ich habs mal ausprobiert.
wenn ich von aussen meinen rechner als relay versuche zu benutzen und eine andere absenderangabe als die lokale domain zu nehmen, werden diese abgelehnt mit "relaying denied".
der rechner soll eigentlich auch nur fuer interne mails benutzt werden und garnicht nach aussen senden. es werden nur von anderen pop3-accounts andere mails abgeholt und an lokale benutzer verteilt.
marten
ich habs mal ausprobiert.
wenn ich von aussen meinen rechner als relay versuche zu benutzen und eine andere absenderangabe als die lokale domain zu nehmen, werden diese abgelehnt mit "relaying denied".
der rechner soll eigentlich auch nur fuer interne mails benutzt werden und garnicht nach aussen senden. es werden nur von anderen pop3-accounts andere mails abgeholt und an lokale benutzer verteilt.
marten
Re: mails an china9988@21cn.com
Tach.
Wie sieht denn der Inhalt von so einer Mail aus? Da läßt sich doch bestimmt anhand der Header bzw. des Bodys erkennen woher das kommt.
Gruß
Marc
Wie sieht denn der Inhalt von so einer Mail aus? Da läßt sich doch bestimmt anhand der Header bzw. des Bodys erkennen woher das kommt.
Gruß
Marc
-
marten
Re: mails an china9988@21cn.com
wie sehe ich mir denn den inhalt einer mail an, die rausgesendet werden soll? hab ich bisher nicht rausgefunden.
marten
marten
Re: mails an china9988@21cn.com
Nabend.
Das dürfte von Deinem MTA abhängig sein. Bei Exim liegen die zu verschickenden Mails glaube ich in irgendeinem Unterverzeichnis unter /var/spool/exim. Und dann nutzt man halt less und Konsorten um sich den Inhalt der Dateien anzuschauen.
Gruß
Marc
Das dürfte von Deinem MTA abhängig sein. Bei Exim liegen die zu verschickenden Mails glaube ich in irgendeinem Unterverzeichnis unter /var/spool/exim. Und dann nutzt man halt less und Konsorten um sich den Inhalt der Dateien anzuschauen.
Gruß
Marc
-
riser
Re: mails an china9988@21cn.com
Morgen,
Wenn Du feststellst, dass die Mail von deinem Rechner erstellt wurde klingt es nach einem Rootkit, mein Beileid.
Einfachste Möglichkeit, System neu aufsetzen und z.B. tripwire installieren.
Andere Möglichkeit, System durchforsten ob z.B. im /dev Sachen drin sind die da nicht hingehören ... => www.google.de.
Aber vielleicht hast Du Glück und dein MTA spinnt nur ein bisschen.
gruß riser
Wenn Du feststellst, dass die Mail von deinem Rechner erstellt wurde klingt es nach einem Rootkit, mein Beileid.
Einfachste Möglichkeit, System neu aufsetzen und z.B. tripwire installieren.
Andere Möglichkeit, System durchforsten ob z.B. im /dev Sachen drin sind die da nicht hingehören ... => www.google.de.
Aber vielleicht hast Du Glück und dein MTA spinnt nur ein bisschen.
gruß riser
-
marten
Re: mails an china9988@21cn.com
danke euch alle, ich habe jetzt ueberall mal alles moegliche durchforstet.
es sieht so aus, als wenn mit diversen lokalen emailadressen versucht worden ist, emails rauszusenden, was "leider" ja nicht ging, da dies keine offizielle domain ist und auch gar nicht wirklich existiert. ich denke, dass sendmail immer mal wieder versucht hat, in unterschiedlichen abstaenden, emails von mal einem, mal einem anderen user abzuschicken. ich habe in /var/spool/mqueue eine ganze reihe solcher mails gefunden und einfach alles geloescht. bisher habe ich wirklich ruhe, hoffe, das das so bleibt.
vielen dank nochmal.
marten
es sieht so aus, als wenn mit diversen lokalen emailadressen versucht worden ist, emails rauszusenden, was "leider" ja nicht ging, da dies keine offizielle domain ist und auch gar nicht wirklich existiert. ich denke, dass sendmail immer mal wieder versucht hat, in unterschiedlichen abstaenden, emails von mal einem, mal einem anderen user abzuschicken. ich habe in /var/spool/mqueue eine ganze reihe solcher mails gefunden und einfach alles geloescht. bisher habe ich wirklich ruhe, hoffe, das das so bleibt.
vielen dank nochmal.
marten