Регистрация...

Eserv Forum / E3 / Eserv 3 Mail Server Support / Вирус?

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Прошлой ночью как будто от нас ушли непонятные письма :

From: nsbfx@ufa.ru
Date: 19 августа 2010 г. 03:33
To: jurye45@163.com
Subject: 94.229.20.102*ufa.ru,25,info,12345,,-SMTP-EK9063P

текст письма: OUXc4406917B#info\12345#94\229\20\102*ufa\ru#JIAi8844390C

причем:
94.229.20.102 — наш IP но у нас нет такого почтового ящика: nsbfx@ufa.ru

0819stat.log :

03:32:35 129 SMTP;211.152.56.178;igk@ufa.ru;cbfgvbg@163.com;250;admin-75af4ab6b;208;844;246
03:32:35 129 SMTP;211.152.56.178;igk@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;208;844;246
03:32:35 129 SMTP;211.152.56.178;irgj@ufa.ru;jurye45@163.com;250;admin-75af4ab6b;235;750;313
03:32:35 129 SMTP;211.152.56.178;irgj@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;235;750;313
03:32:35 129 SMTP;211.152.56.178;iqndb@ufa.ru;jurye45@163.com;250;admin-75af4ab6b;236;875;269
03:32:35 129 SMTP;211.152.56.178;iqndb@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;236;875;269
03:32:35 129 SMTP;211.152.56.178;tnohcr@ufa.ru;dfudxf@163.com;250;admin-75af4ab6b;243;860;282
03:32:35 129 SMTP;211.152.56.178;tnohcr@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;243;860;282
03:32:35 129 SMTP;211.152.56.178;exvobu@ufa.ru;xghsfg@163.com;250;admin-75af4ab6b;228;875;260
03:32:35 129 SMTP;211.152.56.178;exvobu@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;228;875;260
03:32:35 129 SMTP;211.152.56.178;xde@ufa.ru;dfudxf@163.com;250;admin-75af4ab6b;217;875;248
03:32:35 129 SMTP;211.152.56.178;xde@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;217;875;248
03:32:35 129 SMTP;211.152.56.178;twnnnh@ufa.ru;dfudxf@163.com;250;admin-75af4ab6b;224;875;256
03:32:35 129 SMTP;211.152.56.178;twnnnh@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;224;875;256
03:32:35 129 SMTP;211.152.56.178;oqjev@ufa.ru;dfudxf@163.com;250;admin-75af4ab6b;218;875;249
03:32:35 129 SMTP;211.152.56.178;oqjev@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;218;875;249
03:32:35 129 SMTP;211.152.56.178;pmkknd@ufa.ru;dfudxf@163.com;250;admin-75af4ab6b;229;750;305
03:32:35 129 SMTP;211.152.56.178;pmkknd@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;229;750;305
03:32:35 129 SMTP;211.152.56.178;nsbfx@ufa.ru;jurye45@163.com;250;admin-75af4ab6b;223;875;254
03:32:35 129 SMTP;211.152.56.178;nsbfx@ufa.ru;archive@wclass-ufa.ru;250;admin-75af4ab6b;223;875;254

что это и как с этим бороться? в каких логах еще посмотреть?

заранее признателен ...
 
Комментарии к этой версии (19.08.2010 07:52) [~AndreyUfa] 769ef1a3
АвторДатаТекстtags
pig19.08.2010 10:53
Похоже, надо выяснять, почему отправитель с китайским IP 211.152.56.178 был посчитан доверенным. Не требуете авторизации для отправки исходящих?
wikipost
ac19.08.2010 11:32
А ящика info с паролем 12345 у вас нет?

AndreyUfa пишет: 0819stat.log


Посмотрите по SMTP-логу как авторизовался отправитель с IP 211.152.56.178.
wikipost
AndreyUfa19.08.2010 12:24
а где проверить какая авторизация требуется:

В "Опции и списки Eserv3"
а как надо?
wikipost
AndreyUfa19.08.2010 12:28
вот кусок SMTP log:

2010-08-19 03:32:35;211.152.56.178;@wclass-ufa.ru;220 mail-ex.wclass-ufa.ru Eserv/3.4557 ESMTP. Thu, 19 Aug 2010 03:32:35 +0600 2010-08-19 03:32:35;211.152.56.178;@wclass-ufa.ru;EHLO admin-75af4ab6b 2010-08-19 03:32:35;211.152.56.178;@wclass-ufa.ru;250-mail-ex.wclass-ufa.ru Hello [211.152.56.178] 250-AUTH PLAIN LOGIN 250-AUTH=LOGIN 250-STARTTLS 250-SIZE 15000000 250-ETRN 250-8bitmime 250-BINARYMIME 250 HELP 2010-08-19 03:32:35;211.152.56.178;@wclass-ufa.ru;334 VXNlcm5hbWU6 2010-08-19 03:32:35;211.152.56.178;@wclass-ufa.ru;334 UGFzc3dvcmQ6 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;235 Authentication successful 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<igk@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 igk@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<cbfgvbg@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 cbfgvbg@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<irgj@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 irgj@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<jurye45@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 jurye45@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<iqndb@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 iqndb@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<jurye45@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 jurye45@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<tnohcr@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 tnohcr@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<dfudxf@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 dfudxf@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<exvobu@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 exvobu@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<xghsfg@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 xghsfg@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<xde@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 xde@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<dfudxf@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 dfudxf@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<twnnnh@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 twnnnh@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<dfudxf@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 dfudxf@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<oqjev@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 oqjev@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<dfudxf@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 dfudxf@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<pmkknd@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 pmkknd@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<dfudxf@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 dfudxf@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RSET 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 Reset state 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;MAIL FROM:<nsbfx@ufa.ru> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 nsbfx@ufa.ru OK 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;RCPT TO:<jurye45@163.com> 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 jurye45@163.com OK, auth:info, domain exists. 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;DATA 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;354 send the mail data, end with . 2010-08-19 03:32:35;211.152.56.178;info@wclass-ufa.ru;250 OK message accepted for delivery что делать?
wikipost
AndreyUfa19.08.2010 12:30
на ящик info пароль не 12345
wikipost
ac19.08.2010 12:43
AndreyUfa пишет: а как надо?

Ничего менять в настройке аворизации не надо!

AndreyUfa пишет: на ящик info пароль не 12345

Может и так (я просто предположил на основании темы китайского письма — и, как видите, с названием ящика угадал). Главное, что этот спамер знает правильный пароль к этому ящику — скорее всего подобрал по словарю "типичных" паролей. И отправлял почту с авторизацией. Поэтому надо сменить пароль на ящике, и всё.
wikipost
AndreyUfa19.08.2010 13:23
спасибо на info пароль сменил, посмотрим что будет дальше ) есть ли смысл поменять пароли на все остальные ящики?
wikipost
ac19.08.2010 13:43
Сделайте grep лога по строке "Authentication successful" и посмотрите, с какими логинами успешно авторизовались с внешних IP. Если есть таковые кроме info, то надо менять.

И если знаете какие-то ящики со слабыми (типовыми) паролями, то тоже стоит сменить, т.к. рано или поздно подберут.
wikipost
AndreyUfa19.08.2010 13:48
ок ... спасибо огромное.. с меня пиво ))
wikipost
Работает на Eserv/5.05567 (10.02.2020)