웹상에서 누군가 메일을 계속 보내는듯한데요..
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 3,534 조회
- 0 추천
- 목록
본문
안녕하십니까? 오늘과내일의 홍석범입니다.
웹에서 인증이 취약한 폼메일등을 통해 대량의 메일을 발송하는 것이 맞습니다.
이러한 경우
1. 웹로그등을 분석하여 어떤 파일을 통해 메일을 발송하는지 확인해 보시기 바랍니다.
주로는 POST 메소드로 발송하므로 POST로 검색해 보시고 만약 보이지 않으면 GET으로도 발송이 가능하므로 GET으로 검색해 보시기 바랍니다.
2. 만약 현재도 메일을 발송하고 있다면
# ngrep -qi port 80 > cap.txt 를 실행후 캡처한 파일을 분석하는 방법도 있습니다.
감사합니다.
태인 님의 글
5일전부터 업체들이 메일이 에러없이 들어오지도 않고 보낸곳으로 리턴이되거나 유실된다고 연락이 많이 오네요...
top으로 확인해보면
6256 root 25 0 3556 3028 2368 R 64.5 0.2 351:04 0 sendmail
2521 root 25 0 672 456 380 R 26.8 0.0 136:06 0 syslogd
항상 sendmail이 60~80정도 사용을 하고 있으며
mailq | more 로 확인해보것중 일부를 부면
k1B04QSr005453 1660 Sat Feb 11 09:04 <nobody@test.net>
(Deferred: 421-: (RLY:CS4) http://postmaster.info.aol.com/er)
<charieses329@aol.com>
k1B0JT1Z008588 1704 Sat Feb 11 09:19 <nobody@test.net>
(Deferred: 421-: (RLY:CS4) http://postmaster.info.aol.com/er)
<charleses3299@aol.com>
k1B04QSt005453 1756 Sat Feb 11 09:04 <nobody@test.net>
(Deferred: 421-: (RLY:CS4) http://postmaster.info.aol.com/er)
<charleses3299@aol.com>
k1B05w8a006080 2081 Sat Feb 11 09:05 <nobody@test.net>
(Deferred: 421-: (RLY:CS4) http://postmaster.info.aol.com/er)
<charieses329@aol.com>
k1B06Yvk006180 2315 Sat Feb 11 09:06 <nobody@test.net>
(Deferred: 421-: (RLY:CS4) http://postmaster.info.aol.com/er)
<charleses3229@aol.com>
위와같이 aol.com 이것으로 mailq를 다 사용하고 있어 메일이 들어오지 않고 mailq 비우면
바로 메일이 잘 되는데 지움과 동시에 바로 위와같이 바로 들어옵니다..
이런식으로 nobody계정이면 웹상에서 보내는거 같은데 어디에서보내는지를 전혀 알수가 없습니다..
막아야 되는데 도저히 찾을수가 없네요..
도움부탁드립니다.
항상 행복한 하루되세요.
관련자료
-
이전
-
다음
