리눅스

스팸서버로 이용 당했습니다.

양현식 작성
작성일 2007.07.19 17:30

4,281 조회
1 댓글
0 추천
목록

28636 ?        S      0:03 sendmail: ./l6BIVNIx022850 emailmx.infoseek.jp.: client greeting
27330 ?        S      0:03 sendmail: ./l6CA2jpU010218 from queue
5110 ?        S      0:02 sendmail: ./l6CHfn0P019554 from queue
15869 ?        S      0:03 sendmail: ./l6C9U73N019036 from queue
30440 ?        S      0:03 sendmail: ./l6C8Xx5F011037 from queue
8243 ?        S      0:02 sendmail: ./l6CFfi4L030244 relay.euromb.com.: user open
18224 ?        S      0:02 sendmail: ./l6CE9l0G028725 from queue
29145 ?        S      0:02 sendmail: ./l6D5SY7D023864 from queue
6931 ?        S      0:02 sendmail: ./l6CJIui4025816 217.172.172.232.: user open
17112 ?        S      0:01 sendmail: ./l6DBxMJa021043 from queue
27443 ?        S      0:02 sendmail: ./l6D3dKOZ016960 from queue
5395 ?        S      0:01 sendmail: ./l6DIHlqv008007 yachoo.com.tw.: client greeting
15570 ?        S      0:01 sendmail: ./l6E2xH7L021447 from queue
25566 ?        S      0:01 sendmail: ./l6EDb5mD026811 from queue
11075 ?        Ss     0:00 crond
3989 ?        S      0:01 sendmail: ./l6E5MkQM026760 ms1a.hinet.net.: user open
14343 ?        S      0:01 sendmail: ./l6E2VjIb001787 mail.lycos.co.jp.: user open
24608 ?        S      0:01 sendmail: ./l6DNcwx7008080 ms6a.hinet.net.: user open
2286 ?        S      0:01 sendmail: ./l6E0eOq7019417 ms69a.hinet.net.: user open
12514 ?        S      0:00 sendmail: ./l6F8hd2G019225 ms77a.hinet.net.: user open
22953 ?        S      0:00 sendmail: ./l6FDRD6X030981 from queue
996 ?        S      0:00 sendmail: ./l6FIcwg0025566 park.funnel.revenuedirect.com.akadns.net.: user open
11506 ?        S      0:00 sendmail: ./l6FMClNI016111 umaila.hinet.net.: user open
21828 ?        S      0:00 sendmail: ./l6FMlPGJ008316 ms37a.hinet.net.: user open
12618 ?        Ss     0:00 sendmail: ./l6G4BgHC012618 msa-mx9.hinet.net.: user open
32020 ?        S      0:00 sendmail: ./l6G2DRWr025664 from queue
7991 ?        Ss     0:00 sendmail: ./l6G5aIZO007991 msa-mx6.hinet.net.: user open
9895 ?        S      0:00 sendmail: ./l6G21HJR017000 msa-mx8.hinet.net.: user open
10309 ?        Ss     0:00 sendmail: ./l6G5dXD2010309 msa-mx2.hinet.net.: user open
14654 ?        Ss     0:00 sendmail: ./l6G5jeaf014654 msa-mx4.hinet.net.: user open
15539 ?        Ss     0:00 sendmail: ./l6G5krOD015539 msa-mx9.hinet.net.: user open
20670 ?        Ss     0:00 sendmail: ./l6G5s7Ua020670 msa-mx3.hinet.net.: user open
20694 ?        Ss     0:00 sendmail: ./l6G5s8sX020694 msa-mx10.hinet.net.: user open

스팸으로 인해 연락받고 확인해보니 위의 프로세서들이 주르르 떠있더군요.

평소 Sendmail데몬은 떠있지만 실제 이용은 관리자에게 서버 이상 통보용으로만 쓰고 있었습

니다. Sendmail 버전은 8.13.1 이고 릴레이는 localhost만 허락되어 있을 뿐입니다.(default설정)

그래서 혹시 root권한으로 들어와 프로그램을 실행했나 해킹여부를 살펴보아도 root로 접속

흔적이 전혀 없더군요. (root로 직접 접속시 따로 로그를 남기도록 되어 있습니다)

일반 계정이 존재하지 않는 서버라 su로 인한 접속이나 권한 획득 공격이 있기도 힘들거 같구

요. 도대체 어떻게 저 sendmail을 스팸으로 이용한건지... 어디서 부터 찾아나가 봐야 할지

막막하네요... 어디서 부터 찾아보고 확인 해야 할지라도 도움 부탁드립니다.

이전

리눅스 초보가 볼만한 책 추천좀 부탁드립니다.

작성일 2007.07.19 18:26
다음

Linux Man Page 질문입니다^^

작성일 2007.07.19 15:21

배준태
작성일 2007.07.20 08:31

이와 비슷한글이있어서 댓글을 남긴적이있는데

1. /var/spool/mqueue 의 mailq 내용을 확인해서 TO /FROm /RCPT-TO 등을 체크합니다.
2. 웹메일링 폼일수도있으니 mailq의 내용중에 본문도 체크합니다.

-_-이거 2개만해도..찾을수있다는...

요즘 없는 메일유저로 메일을 보내서 리턴을 보낸사람이 아닌 RCPT-TO를 통해 다른특정 포털로 보내는메일이 많더군요...
도움이 되셨을련지^^

로그인한 회원만 댓글 등록이 가능합니다.

메뉴
검색
클라우드포털

스팸서버로 이용 당했습니다.

공지사항

뉴스광장

작성자 정보

컨텐츠 정보

본문

관련자료

공지사항

뉴스광장