로그파일을 보다보니 뭔가 좀 이상해서요

안녕 하세요.

/var/spool/mqueue에 파일들이 엄청나게 많은거죠?

^_^;

엄청난 파일이란 무엇일까요?

우선,  네트웍 디바이스가 promiscuous mode가 되면 해당 인터페이스로 들어오는

모든 패킷정보를 수집하게 됩니다.

아마도 공격자가 시스템을 공격하고  promiscuous mode로 수집된 데이터를

sendmail을 통하여 자신에게 보내고자 한게 아닌가 싶습니다.

mqueue에 저장된 메일의 헤더를 확인하셔서, 공격자의 정보를 얻을 수 있지 않을가 합니다.

도움이 되셨는지 모르겠습니다.

초보 님의 글

/var/log/message 내용을 보다보니....

이런 메세지가 있어서요... 아무래도 해킹당한것 아닌가해서요....

Jul  6 00:10:02 EduSoft sendmail: sendmail startup succeeded
Jul  6 00:11:49 EduSoft kernel: eth0: Setting promiscuous mode.
Jul  6 00:11:49 EduSoft kernel: device eth0 entered promiscuous mode
Jul  6 00:11:51 EduSoft kernel: device eth0 left promiscuous mode

그리고 /var/spool/mqueue 안에 엄청난 파일들이 많거든요...

모두 다 지우고 시픈데...

아무래도 스펨메일보내는 것  같거든요...