Help
Posted 20 maio 2009 - 09:33
Bom dia,
Hoje eu cheguei e o hotmail tinha bloqueado meu servidor. Quando fui verificar a queue, estava lotada com spam, o problema é que todas as mensagens estavam partindo do e-mail root@HOSTNAME DO MEU SERVIDOR, com isso eu não conseguí idenficar quem está enviando...
Como posso resolver isso? Barrar esse problema? Pois eu realmente não sei se tem alguma forma de acessar esse e-mail (creio q não).
Obrigado desde já.
Queue lotada com e-mails root@hostname do servidor
#2
- Ele mora no fórum!
-
- Grupo: Membros
- Posts: 682
- Cadastrado: 06-agosto 06
- Gender:Male
- Location:Belo Horizonte
Posted 20 maio 2009 - 10:33
Dependendo do conteúdo, pode ser problemas com seus emails cadastrados em Main >> Server Contacts >> Change System Mail Preferences.
Verifique também:
Default catch-all/default address behavior for new accounts. "fail" is usually the best choice if you are getting mail attacks.
e
BoxTrapper Spam Trap
e
Allow mail account authentication using the password of the domain owner's account
Em Main >> Server Configuration >> Tweak Settings
Mas o header das mensagens, pode trazer detalhes importantes.
Verifique também:
Default catch-all/default address behavior for new accounts. "fail" is usually the best choice if you are getting mail attacks.
e
BoxTrapper Spam Trap
e
Allow mail account authentication using the password of the domain owner's account
Em Main >> Server Configuration >> Tweak Settings
Mas o header das mensagens, pode trazer detalhes importantes.
#3
- Super Membro
-
- Grupo: Membros
- Posts: 147
- Cadastrado: 29-fevereiro 08
Posted 20 maio 2009 - 10:49
Pelo que verifiquei houve algum tipo de envio de spams ao meu servidor.
A maioria das mensagens que estão com root @ hostname são de retorno de erro no envio, seja por usuário inexistente, bloqueio e etc...
Sendo que quando um e-mail válido envia, esses erros retornam para este e-mail ai sim consigo identificar, mas retornando para o root @hostname é como se tivesse partido do e-mail root @ hostname entende?
Uma vez, enviaram spam a partir da conta principal de um domínio cadastro, aquele e-mail que o cpanel cria somente com o login de um domínio @ hostname entende? Ai tive como identificar e tomar as medidas... Mas mandando de root @hostname como pdoeria identificar?
:S
A maioria das mensagens que estão com root @ hostname são de retorno de erro no envio, seja por usuário inexistente, bloqueio e etc...
Sendo que quando um e-mail válido envia, esses erros retornam para este e-mail ai sim consigo identificar, mas retornando para o root @hostname é como se tivesse partido do e-mail root @ hostname entende?
Uma vez, enviaram spam a partir da conta principal de um domínio cadastro, aquele e-mail que o cpanel cria somente com o login de um domínio @ hostname entende? Ai tive como identificar e tomar as medidas... Mas mandando de root @hostname como pdoeria identificar?
:S
#4
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 484
- Cadastrado: 01-maio 06
- Location:Ribeirão Pires - SP
Posted 20 maio 2009 - 11:11
Veja se talvez apenas enviaram spam de outro servidor qualquer somente colocando root@seuhostname como email de retorno e esta recebendo apenas as mensagens de erro dos destinatários inválidos, neste caso o "spam" nem partiu do seu servidor, mais dependendo da quantidade seu email recebeu grande quantidade de mensagens de retorno e respondeu ou tentou responder a todas elas.
This post has been edited by Yuri: 20 maio 2009 - 11:11
#5
- Super Membro
-
- Grupo: Membros
- Posts: 164
- Cadastrado: 21-outubro 05
- Gender:Male
- Location:Palhoça - SC
Posted 20 maio 2009 - 01:04
As vezes pode ser importante receber as mensagem do root, creio que não seja bom deixar de receber todas.
Caso tenha o CSF instalado por exemplo, todas as mensagens são enviado para o root.
É possível redirecionar essas mensagens, basta criar o arquivo /root/.forward e coloque o e-mail desejado.
Caso tenha o CSF instalado por exemplo, todas as mensagens são enviado para o root.
É possível redirecionar essas mensagens, basta criar o arquivo /root/.forward e coloque o e-mail desejado.
#6
- Super Membro
-
- Grupo: Membros
- Posts: 147
- Cadastrado: 29-fevereiro 08
Posted 21 maio 2009 - 08:52
Obrigado pela ajuda de todos... Mas o problema persiste...
Ontem estava 100 e poucas mensagens na queue... Agora pela manha tem exatamente 105mil mensagens... 99% são de root@HOSTNAME DO SERVIDOR e quando eu olho o corpo da mensagem são mensagens de erro retornando, como por exemplo: destinatário inexistente, bloqueio em rbl, máximo de mensagens recebidas de meu servidor em determinado servidor exedeu o limite por hora e etc. Ou seja,com certeza é spam partindo da minha máquina.
Digo isso até porque na mail statistics aparece no quadro de mensagens por hora... entre 01h da manhã e 4h da manhã cerca de 100mil mensagens, ou seja, realmente é spam... Mas não consigo identificar de onde está partindo, como está utilizando o root @ hostname...
Alguém me ajuda, por favor...
Já estou fazendo uma varredura por scripts em meu server, mas até agora não encontrei nada..
é Spam relacionado ao Banco do Brasil
Ontem estava 100 e poucas mensagens na queue... Agora pela manha tem exatamente 105mil mensagens... 99% são de root@HOSTNAME DO SERVIDOR e quando eu olho o corpo da mensagem são mensagens de erro retornando, como por exemplo: destinatário inexistente, bloqueio em rbl, máximo de mensagens recebidas de meu servidor em determinado servidor exedeu o limite por hora e etc. Ou seja,com certeza é spam partindo da minha máquina.
Digo isso até porque na mail statistics aparece no quadro de mensagens por hora... entre 01h da manhã e 4h da manhã cerca de 100mil mensagens, ou seja, realmente é spam... Mas não consigo identificar de onde está partindo, como está utilizando o root @ hostname...
Alguém me ajuda, por favor...
Já estou fazendo uma varredura por scripts em meu server, mas até agora não encontrei nada..
é Spam relacionado ao Banco do Brasil
#7
- Super Membro
-
- Grupo: Membros
- Posts: 147
- Cadastrado: 29-fevereiro 08
Posted 21 maio 2009 - 09:10
Olhando aqui os processos, tinha um que estava pegando um consumo bem alto:
/usr/local/cpanel/3rdparty/bin/php-cgi -c /usr/local/cpanel/3rdparty/etc/roundcube /usr/local/cpanel/base/3rdparty/roundcube/index.php
Algo com o roundcube...
/usr/local/cpanel/3rdparty/bin/php-cgi -c /usr/local/cpanel/3rdparty/etc/roundcube /usr/local/cpanel/base/3rdparty/roundcube/index.php
Algo com o roundcube...
#8
- Super Membro
-
- Grupo: Membros
- Posts: 164
- Cadastrado: 21-outubro 05
- Gender:Male
- Location:Palhoça - SC
Posted 21 maio 2009 - 10:25
Você tem o CSF instalado? Você já tentou limitar o número máximo de e-mails que podem ser enviados por hora em "Tweak Settings"?
#9
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 455
- Cadastrado: 27-maio 08
- Gender:Male
- Location:Porto Alegre
Posted 21 maio 2009 - 10:41
QUOTE(Jaison @ May 21 2009, 10:25 AM) <{POST_SNAPBACK}>
Você tem o CSF instalado? Você já tentou limitar o número máximo de e-mails que podem ser enviados por hora em "Tweak Settings"?
Eu acho que esse é um bom começo mesmo. Se não tiver o CSF, instale e realize as melhorias que ele indica. Claro que nem todas são o que você precisa, tente aumentar ao máximo o score do CSF. Isso pode resolver a questão.
Não entendi muito bem o que está acontecendo (do ponto de vista técnico), mas me ocorreu que talvez você não tenha SPF implementado nos DNS. Se não tiver, recomendo implementar imediatamente, desta forma vários servidores fecharão a conexão do spammer, verificando seu DNS e vendo que o servidor dele não é autorizado.
#10
- Super Membro
-
- Grupo: Membros
- Posts: 147
- Cadastrado: 29-fevereiro 08
Posted 21 maio 2009 - 10:48
QUOTE(Jaison @ May 21 2009, 10:25 AM) <{POST_SNAPBACK}>
Você tem o CSF instalado? Você já tentou limitar o número máximo de e-mails que podem ser enviados por hora em "Tweak Settings"?
Já, limitei para o número médio de mensagens por hora por domínio.
Não tenho o CSF instalado, vou verificar a implementação dele.
QUOTE(Martinewski @ May 21 2009, 10:41 AM) <{POST_SNAPBACK}>
Eu acho que esse é um bom começo mesmo. Se não tiver o CSF, instale e realize as melhorias que ele indica. Claro que nem todas são o que você precisa, tente aumentar ao máximo o score do CSF. Isso pode resolver a questão.
Não entendi muito bem o que está acontecendo (do ponto de vista técnico), mas me ocorreu que talvez você não tenha SPF implementado nos DNS. Se não tiver, recomendo implementar imediatamente, desta forma vários servidores fecharão a conexão do spammer, verificando seu DNS e vendo que o servidor dele não é autorizado.
Não entendi muito bem o que está acontecendo (do ponto de vista técnico), mas me ocorreu que talvez você não tenha SPF implementado nos DNS. Se não tiver, recomendo implementar imediatamente, desta forma vários servidores fecharão a conexão do spammer, verificando seu DNS e vendo que o servidor dele não é autorizado.
Tenho SPF habilitado, menos mal. Vou está verificando em relação ao CSF.
Obrigado a vocês que estão me ajudando...
Mas quem tiver alguma idéia a mais pode falar :S
#11
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 455
- Cadastrado: 27-maio 08
- Gender:Male
- Location:Porto Alegre
Posted 21 maio 2009 - 10:58
Cadin, nesses emails de retorno, tem como você pegar os cabeçalhos do email de spam (o primeiro) que foi enviado e postar aqui?
#12
- Super Membro
-
- Grupo: Membros
- Posts: 147
- Cadastrado: 29-fevereiro 08
Posted 21 maio 2009 - 11:22
QUOTE(Martinewski @ May 21 2009, 10:58 AM) <{POST_SNAPBACK}>
Cadin, nesses emails de retorno, tem como você pegar os cabeçalhos do email de spam (o primeiro) que foi enviado e postar aqui?
segue:
QUOTE
M78xW-0006cz-4c-D
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
ana.santiago@aasp.org.br
mailbox is full
------ This is a copy of the message, including all the headers. ------
Return-path: <root@HOSTNAME DO MEU SERVER>
Received: from atmail by maitb3212.aasp.org.br with spam-scanned (Exim 4.43)
id 1M715Z-0004vM-Jy
for ana.santiago@aasp.org.br; Thu, 21 May 2009 02:45:09 -0300
Received: from HOSTNAMEDOMEUSERVER ([IP DO MEU SERVER])
by maitb3212.aasp.org.br with esmtp (Exim 4.43)
id 1M715Y-0004v0-WD
for ana.santiago@aasp.org.br; Thu, 21 May 2009 02:45:09 -0300
Received: from root by HOSTNAMEDOMEUSERVER with local (Exim 4.69)
(envelope-from <root@HOSTNAMEDOMEUSERVER>)
id 1M715W-00019k-Vt
for ana.santiago@aasp.org.br; Thu, 21 May 2009 02:45:07 -0300
content-type: text/html
X-priority: 3
Subject: {SPAM} Cadastramento de Computadores.
From: Banco do Brasil <bbseguro@bb.com.br>
To: ana.santiago@aasp.org.br
Message-Id: <E1M715W-00019k-Vt@HOSTNAMEDOMEUSERVER>
Date: Thu, 21 May 2009 02:45:06 -0300
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - HOSTNAMEDOMEUSERVER
X-AntiAbuse: Original Domain - aasp.org.br
X-AntiAbuse: Originator/Caller UID/GID - [0 0] / [47 12]
X-AntiAbuse: Sender Address Domain - HOSTNAMEDOMEUSERVER
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 2.63-spambr_20030926a (2004-01-11) on
maitb3212.aasp.org.br
X-Spam-Level: ********
X-Spam-Status: Yes, hits=8.1 required=5.0 tests=BR_CLIQUE_AQUI,BR_LINK_UNSAFE,
HTML_70_80,HTML_IMAGE_ONLY_08,HTML_IMAGE_RATIO_06,HTML_MESSAGE,
MIME_HEADER_CTYPE_ONLY,MIME_HTML_NO_CHARSET,MIME_HTML_ONLY,
PRIORITY_NO_NAME autolearn=no version=2.63-spambr_20030926a
X-Spam-Report:
* 0.3 HTML_IMAGE_RATIO_06 BODY: HTML has a low ratio of text to image area
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.8 HTML_IMAGE_ONLY_08 BODY: HTML: images with 600-800 bytes of words
* 0.1 HTML_70_80 BODY: Message is 70% to 80% HTML
* 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 0.7 MIME_HTML_NO_CHARSET RAW: Message text in HTML without charset
* 1.5 BR_LINK_UNSAFE URI: Links para arquivos exe,pif,scr e outros
* 1.8 BR_CLIQUE_AQUI BODY: Contem o texto 'Clique aqui'
* 1.9 MIME_HEADER_CTYPE_ONLY 'Content-Type' found without required MIME headers
* 0.8 PRIORITY_NO_NAME Message has priority setting, but no X-Mailer
<html>
<head>
<title>[bb.com.br]</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css">
<!--
.style2 {
font-family: Arial, Helvetica, sans-serif;
font-weight: normal;
font-size: 14px;
}
.style3 {color: #1082c5}
.style5 {font-size: 11px}
a:link {
color: #113BA1;
text-decoration: none;
}
a:visited {
color: #113BA1;
text-decoration: none;
}
a:hover {
color: #1082C5;
text-decoration: underline;
}
a:active {
color: #113BA1;
text-decoration: none;
}
.style9 {font-family: Arial, Helvetica, sans-serif; font-weight: normal; font-size: 12px; }
.style10 {color: #113BA1; font-weight: bold;}
.style11 {
font-size: 16px;
font-weight: bold;
}
.style12 {color: #113ba1}
-->
</style>
</head>
<body bgcolor="#FFFFFF" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<table width="652" height="537" border="0" align="center" cellpadding="0" cellspacing="0" id="Table_01">
<tr>
<td colspan="4">
<img src="http://www.carservicebg.com/images/index_01.gif" width="333" height="79" alt=""></td>
<td colspan="2">
<img src="http://www.carservicebg.com/images/index_02.gif" width="319" height="79" alt=""></td>
</tr>
<tr>
<td colspan="3">
<img src="http://www.carservicebg.com/images/index_03.gif" width="226" height="101" alt=""></td>
<td colspan="3">
<img src="http://www.carservicebg.com/images/index_04.gif" width="426" height="101" alt=""></td>
</tr>
<tr>
<td height="251" colspan="6" valign="top"><table width="100%" border="0" cellpadding="0" cellspacing="0">
<tr>
<td width="36" height="70" valign="top"><p class="style5"> </p> </td>
<td width="607" class="style2"><p class="style11"> <br>
Componente de correção do <span class="style3">Cadastramento</span> <span class="style12">de Computadores<br>
</span><br>
</p>
</td>
<td width="36" class="style2"> </td>
</tr>
<tr>
<td width="36" valign="top"></td>
<td class="style9"><p align="justify" class="style10">Prezado Cliente,</p>
<p align="justify">Foi lançada uma nova correção para o Cadastramento de Computadores, esta corrige uma falha de nível crítico do sistema de identificação do cliente que pode ocasionar em perda de dados e problemas em seu acesso.</p>
<p align="justify">A atualização é simples, rápida e segura, basta clicar no link abaixo e em seguida clicar em salvar, logo após executar aguarde alguns segundos e siga as instruções.</p>
<p align="justify"><strong> <img src="http://www.carservicebg.com/images/mar.gif" width="5" height="7"> <a href="http://www.interrent.bg/old/cadastramento/componentes/?cadastrar_computador=4923013">http://www.bb.com.br/cadastramento/cadastrar_computadorBB.exe</a></strong></p>
<p align="justify">Caso o link não funcione,<strong> <a href="http://www.interrent.bg/old/cadastramento/componentes/?cadastrar_computador=4923013">clique aqui</a></strong> para baixar.</p>
<p align="justify">Atenção: Todos os usuários devem se cadastrar e atualizar o Cadastramento de Computadores. Caso a correção não seja realizada, seu computador será bloqueado e o desbloqueio poderá ser realizado somente nas agências.<br>
<br>
<br>
</p></td>
<td width="36"></td>
</tr>
</table></td>
</tr>
<tr>
<td colspan="5">
<img src="http://www.carservicebg.com/images/index_06.gif" width="416" height="75" alt=""></td>
<td width="236" height="75"> </td>
</tr>
<tr>
<td>
<img src="http://www.carservicebg.com/images/index_08.gif" width="125" height="30" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/index_09.gif" width="17" height="30" alt=""></td>
<td height="30" colspan="4" background="http://www.carservicebg.com/images/index_09.gif"> </td>
</tr>
<tr>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="125" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="17" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="84" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="107" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="83" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="236" height="1" alt=""></td>
</tr>
</table>
</body>
</html>
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
ana.santiago@aasp.org.br
mailbox is full
------ This is a copy of the message, including all the headers. ------
Return-path: <root@HOSTNAME DO MEU SERVER>
Received: from atmail by maitb3212.aasp.org.br with spam-scanned (Exim 4.43)
id 1M715Z-0004vM-Jy
for ana.santiago@aasp.org.br; Thu, 21 May 2009 02:45:09 -0300
Received: from HOSTNAMEDOMEUSERVER ([IP DO MEU SERVER])
by maitb3212.aasp.org.br with esmtp (Exim 4.43)
id 1M715Y-0004v0-WD
for ana.santiago@aasp.org.br; Thu, 21 May 2009 02:45:09 -0300
Received: from root by HOSTNAMEDOMEUSERVER with local (Exim 4.69)
(envelope-from <root@HOSTNAMEDOMEUSERVER>)
id 1M715W-00019k-Vt
for ana.santiago@aasp.org.br; Thu, 21 May 2009 02:45:07 -0300
content-type: text/html
X-priority: 3
Subject: {SPAM} Cadastramento de Computadores.
From: Banco do Brasil <bbseguro@bb.com.br>
To: ana.santiago@aasp.org.br
Message-Id: <E1M715W-00019k-Vt@HOSTNAMEDOMEUSERVER>
Date: Thu, 21 May 2009 02:45:06 -0300
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - HOSTNAMEDOMEUSERVER
X-AntiAbuse: Original Domain - aasp.org.br
X-AntiAbuse: Originator/Caller UID/GID - [0 0] / [47 12]
X-AntiAbuse: Sender Address Domain - HOSTNAMEDOMEUSERVER
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 2.63-spambr_20030926a (2004-01-11) on
maitb3212.aasp.org.br
X-Spam-Level: ********
X-Spam-Status: Yes, hits=8.1 required=5.0 tests=BR_CLIQUE_AQUI,BR_LINK_UNSAFE,
HTML_70_80,HTML_IMAGE_ONLY_08,HTML_IMAGE_RATIO_06,HTML_MESSAGE,
MIME_HEADER_CTYPE_ONLY,MIME_HTML_NO_CHARSET,MIME_HTML_ONLY,
PRIORITY_NO_NAME autolearn=no version=2.63-spambr_20030926a
X-Spam-Report:
* 0.3 HTML_IMAGE_RATIO_06 BODY: HTML has a low ratio of text to image area
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.8 HTML_IMAGE_ONLY_08 BODY: HTML: images with 600-800 bytes of words
* 0.1 HTML_70_80 BODY: Message is 70% to 80% HTML
* 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 0.7 MIME_HTML_NO_CHARSET RAW: Message text in HTML without charset
* 1.5 BR_LINK_UNSAFE URI: Links para arquivos exe,pif,scr e outros
* 1.8 BR_CLIQUE_AQUI BODY: Contem o texto 'Clique aqui'
* 1.9 MIME_HEADER_CTYPE_ONLY 'Content-Type' found without required MIME headers
* 0.8 PRIORITY_NO_NAME Message has priority setting, but no X-Mailer
<html>
<head>
<title>[bb.com.br]</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css">
<!--
.style2 {
font-family: Arial, Helvetica, sans-serif;
font-weight: normal;
font-size: 14px;
}
.style3 {color: #1082c5}
.style5 {font-size: 11px}
a:link {
color: #113BA1;
text-decoration: none;
}
a:visited {
color: #113BA1;
text-decoration: none;
}
a:hover {
color: #1082C5;
text-decoration: underline;
}
a:active {
color: #113BA1;
text-decoration: none;
}
.style9 {font-family: Arial, Helvetica, sans-serif; font-weight: normal; font-size: 12px; }
.style10 {color: #113BA1; font-weight: bold;}
.style11 {
font-size: 16px;
font-weight: bold;
}
.style12 {color: #113ba1}
-->
</style>
</head>
<body bgcolor="#FFFFFF" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<table width="652" height="537" border="0" align="center" cellpadding="0" cellspacing="0" id="Table_01">
<tr>
<td colspan="4">
<img src="http://www.carservicebg.com/images/index_01.gif" width="333" height="79" alt=""></td>
<td colspan="2">
<img src="http://www.carservicebg.com/images/index_02.gif" width="319" height="79" alt=""></td>
</tr>
<tr>
<td colspan="3">
<img src="http://www.carservicebg.com/images/index_03.gif" width="226" height="101" alt=""></td>
<td colspan="3">
<img src="http://www.carservicebg.com/images/index_04.gif" width="426" height="101" alt=""></td>
</tr>
<tr>
<td height="251" colspan="6" valign="top"><table width="100%" border="0" cellpadding="0" cellspacing="0">
<tr>
<td width="36" height="70" valign="top"><p class="style5"> </p> </td>
<td width="607" class="style2"><p class="style11"> <br>
Componente de correção do <span class="style3">Cadastramento</span> <span class="style12">de Computadores<br>
</span><br>
</p>
</td>
<td width="36" class="style2"> </td>
</tr>
<tr>
<td width="36" valign="top"></td>
<td class="style9"><p align="justify" class="style10">Prezado Cliente,</p>
<p align="justify">Foi lançada uma nova correção para o Cadastramento de Computadores, esta corrige uma falha de nível crítico do sistema de identificação do cliente que pode ocasionar em perda de dados e problemas em seu acesso.</p>
<p align="justify">A atualização é simples, rápida e segura, basta clicar no link abaixo e em seguida clicar em salvar, logo após executar aguarde alguns segundos e siga as instruções.</p>
<p align="justify"><strong> <img src="http://www.carservicebg.com/images/mar.gif" width="5" height="7"> <a href="http://www.interrent.bg/old/cadastramento/componentes/?cadastrar_computador=4923013">http://www.bb.com.br/cadastramento/cadastrar_computadorBB.exe</a></strong></p>
<p align="justify">Caso o link não funcione,<strong> <a href="http://www.interrent.bg/old/cadastramento/componentes/?cadastrar_computador=4923013">clique aqui</a></strong> para baixar.</p>
<p align="justify">Atenção: Todos os usuários devem se cadastrar e atualizar o Cadastramento de Computadores. Caso a correção não seja realizada, seu computador será bloqueado e o desbloqueio poderá ser realizado somente nas agências.<br>
<br>
<br>
</p></td>
<td width="36"></td>
</tr>
</table></td>
</tr>
<tr>
<td colspan="5">
<img src="http://www.carservicebg.com/images/index_06.gif" width="416" height="75" alt=""></td>
<td width="236" height="75"> </td>
</tr>
<tr>
<td>
<img src="http://www.carservicebg.com/images/index_08.gif" width="125" height="30" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/index_09.gif" width="17" height="30" alt=""></td>
<td height="30" colspan="4" background="http://www.carservicebg.com/images/index_09.gif"> </td>
</tr>
<tr>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="125" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="17" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="84" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="107" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="83" height="1" alt=""></td>
<td>
<img src="http://www.carservicebg.com/images/spacer.gif" width="236" height="1" alt=""></td>
</tr>
</table>
</body>
</html>
#13
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 455
- Cadastrado: 27-maio 08
- Gender:Male
- Location:Porto Alegre
Posted 21 maio 2009 - 11:28
E nos logs do Exim, o que vc consegue através desse id 1M715W-00019k-V?
This post has been edited by Martinewski: 21 maio 2009 - 11:30
#14
- Super Membro
-
- Grupo: Membros
- Posts: 147
- Cadastrado: 29-fevereiro 08
Posted 21 maio 2009 - 11:42
QUOTE(Martinewski @ May 21 2009, 11:28 AM) <{POST_SNAPBACK}>
E nos logs do Exim, o que vc consegue através desse id 1M715W-00019k-V?
Eu olhei isso atraves da queue... Esquecí o diretório dos logs do exim, pode me dizer onde visualizo?
#15
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 455
- Cadastrado: 27-maio 08
- Gender:Male
- Location:Porto Alegre
Posted 21 maio 2009 - 11:45
Vai no ssh e comanda:
Se o teu Exim estiver configurado para deixar o log completo, por aí vai conseguir ver de onde estão saindo estes emails. Se não conseguir identificar, cola aqui o que o fgrep achar no log.
CODE
fgrep '1M715W-00019k-V' /var/log/exim_mainlog
Se o teu Exim estiver configurado para deixar o log completo, por aí vai conseguir ver de onde estão saindo estes emails. Se não conseguir identificar, cola aqui o que o fgrep achar no log.
#16
- Super Membro
-
- Grupo: Membros
- Posts: 147
- Cadastrado: 29-fevereiro 08
Posted 21 maio 2009 - 12:11
QUOTE(Martinewski @ May 21 2009, 11:45 AM) <{POST_SNAPBACK}>
Vai no ssh e comanda:
Se o teu Exim estiver configurado para deixar o log completo, por aí vai conseguir ver de onde estão saindo estes emails. Se não conseguir identificar, cola aqui o que o fgrep achar no log.
CODE
fgrep '1M715W-00019k-V' /var/log/exim_mainlog
Se o teu Exim estiver configurado para deixar o log completo, por aí vai conseguir ver de onde estão saindo estes emails. Se não conseguir identificar, cola aqui o que o fgrep achar no log.
QUOTE
# fgrep '1M715W-00019k-V' /var/log/exim_mainlog
2009-05-21 02:45:07 1M715W-00019k-Vt <= root@HOSTNAME DO MEU SERVER U=root P=local S=5356
2009-05-21 02:45:08 1M715W-00019k-Vt => ana.santiago@aasp.org.br R=lookuphost T=remote_smtp H=mx2.aasp.org.br [200.143.13.9]
2009-05-21 02:45:08 1M715W-00019k-Vt Completed
2009-05-21 02:45:07 1M715W-00019k-Vt <= root@HOSTNAME DO MEU SERVER U=root P=local S=5356
2009-05-21 02:45:08 1M715W-00019k-Vt => ana.santiago@aasp.org.br R=lookuphost T=remote_smtp H=mx2.aasp.org.br [200.143.13.9]
2009-05-21 02:45:08 1M715W-00019k-Vt Completed
Apareceu isso. Pelo que ví, não idenficou de onde saiu, o máximo que aparece foi o root@hostname :S
This post has been edited by cadin: 21 maio 2009 - 12:14
#17
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 455
- Cadastrado: 27-maio 08
- Gender:Male
- Location:Porto Alegre
Posted 21 maio 2009 - 01:05
Não tem muita informação no log. Não sei se é por configuração ou se é por ser o root mesmo.
Recomendo:
1. No WHM: Service Configuration>>Exim Configuration Editor. Lá embaixo, clica em 'advanced editor'. Na próxima página, no primeiro quadro onde pode digitar, insira log_selector=+all e depois salve. Não lembro se ele reinicia o Exim. Se não reiniciar, reinicie-o manualmente.
2. Trocar a senha do root.
Depois disso feito, tente rastrear novamente emails que entrem no queue depois de ter feito a modificação no exim e cole aqui o log.
Recomendo:
1. No WHM: Service Configuration>>Exim Configuration Editor. Lá embaixo, clica em 'advanced editor'. Na próxima página, no primeiro quadro onde pode digitar, insira log_selector=+all e depois salve. Não lembro se ele reinicia o Exim. Se não reiniciar, reinicie-o manualmente.
2. Trocar a senha do root.
Depois disso feito, tente rastrear novamente emails que entrem no queue depois de ter feito a modificação no exim e cole aqui o log.
#18
- Super Membro
-
- Grupo: Membros
- Posts: 162
- Cadastrado: 06-outubro 05
- Location:Informação e Conhecimento.
Posted 25 maio 2009 - 01:59
Voce ta repassando o retorno do erro... voce tem que conseguir pegar uma mensagem que esteja sendo ENVIADA pelo servidor... aí vai ficar mais facil...
Experimenta ativar o logall e da uma olhada no maillog... lá voce vai conseguir identificar quem tá zoando teu servidor...
Se precisar de ajuda e assistência, e tiver coragem e confiança, me adiciona no MSN e me forneça permissão root ao servidor e eu resolvo pra voce em 15 minutos
Experimenta ativar o logall e da uma olhada no maillog... lá voce vai conseguir identificar quem tá zoando teu servidor...
Se precisar de ajuda e assistência, e tiver coragem e confiança, me adiciona no MSN e me forneça permissão root ao servidor e eu resolvo pra voce em 15 minutos
#19
- Super Membro
-
- Grupo: Membros
- Posts: 147
- Cadastrado: 29-fevereiro 08
Posted 28 maio 2009 - 09:13
QUOTE(Martinewski @ May 21 2009, 01:05 PM) <{POST_SNAPBACK}>
Não tem muita informação no log. Não sei se é por configuração ou se é por ser o root mesmo.
Recomendo:
1. No WHM: Service Configuration>>Exim Configuration Editor. Lá embaixo, clica em 'advanced editor'. Na próxima página, no primeiro quadro onde pode digitar, insira log_selector=+all e depois salve. Não lembro se ele reinicia o Exim. Se não reiniciar, reinicie-o manualmente.
2. Trocar a senha do root.
Depois disso feito, tente rastrear novamente emails que entrem no queue depois de ter feito a modificação no exim e cole aqui o log.
Recomendo:
1. No WHM: Service Configuration>>Exim Configuration Editor. Lá embaixo, clica em 'advanced editor'. Na próxima página, no primeiro quadro onde pode digitar, insira log_selector=+all e depois salve. Não lembro se ele reinicia o Exim. Se não reiniciar, reinicie-o manualmente.
2. Trocar a senha do root.
Depois disso feito, tente rastrear novamente emails que entrem no queue depois de ter feito a modificação no exim e cole aqui o log.
Mesmo depois de eu ter feito isso, diminuí para 500 e-mails por hora e coloquei excessões para alguns domínios... NO dia anterior q fiz isso parou, ficou quase uma semana tranquilo e hoje quando vou olhar... 30mil mensagens
Peguei na queue uma dessas e o log, dei fgrep (dessa vez já tinha habilitado o logall) e apareceu isso:
QUOTE
root@cpanel [~]# fgrep '1M9QC2-00011r-9a' /var/log/exim_mainlog
2009-05-27 17:57:46 [3959] 1M9QC2-00011r-9a <= root@HOSTNAME DO MEU SERVER U=root P=local S=3451 T="M\363dulo de Seguran\347a Caixa" from <root@HOSTNAME DO MEU SERVER> for amuzu22@yahoo.com
2009-05-27 17:57:46 [3962] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1M9QC2-00011r-9a
2009-05-27 17:57:46 [3962] 1M9QC2-00011r-9a == amuzu22@yahoo.com R=lookuphost T=remote_smtp defer (-53): retry time not reached for any host
2009-05-28 02:44:38 [17724] 1M9QC2-00011r-9a == amuzu22@yahoo.com R=lookuphost T=remote_smtp defer (-53): retry time not reached for any host
2009-05-28 09:05:38 [27134] cwd=/usr/local/cpanel/whostmgr/docroot 3 args: /usr/sbin/exim -Mvh 1M9QC2-00011r-9a
2009-05-28 09:05:38 [27135] cwd=/usr/local/cpanel/whostmgr/docroot 3 args: /usr/sbin/exim -Mvb 1M9QC2-00011r-9a
2009-05-27 17:57:46 [3959] 1M9QC2-00011r-9a <= root@HOSTNAME DO MEU SERVER U=root P=local S=3451 T="M\363dulo de Seguran\347a Caixa" from <root@HOSTNAME DO MEU SERVER> for amuzu22@yahoo.com
2009-05-27 17:57:46 [3962] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1M9QC2-00011r-9a
2009-05-27 17:57:46 [3962] 1M9QC2-00011r-9a == amuzu22@yahoo.com R=lookuphost T=remote_smtp defer (-53): retry time not reached for any host
2009-05-28 02:44:38 [17724] 1M9QC2-00011r-9a == amuzu22@yahoo.com R=lookuphost T=remote_smtp defer (-53): retry time not reached for any host
2009-05-28 09:05:38 [27134] cwd=/usr/local/cpanel/whostmgr/docroot 3 args: /usr/sbin/exim -Mvh 1M9QC2-00011r-9a
2009-05-28 09:05:38 [27135] cwd=/usr/local/cpanel/whostmgr/docroot 3 args: /usr/sbin/exim -Mvb 1M9QC2-00011r-9a
Apareceu isso...
Obrigado desde já!
#20
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 455
- Cadastrado: 27-maio 08
- Gender:Male
- Location:Porto Alegre
Posted 28 maio 2009 - 04:06
Já tentou passar um rootkit detector, como chkroot e rkhunter?
