현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

전 바이러스 메일을 보낸적이 없습니다. ㅜㅜ

닌자의 이미지
글쓴이: 닌자 / 작성시간: 토, 2004/04/17 - 11:53오후

전 메일을 보내지도 않았는데, 바이러스가 첨부되었다며 메일이 반송되어 왔더군요
제 메일로그는 더욱 가관입니다.
Relaying denied 되었다며, a 부터 시작한 계정에서 z로 시작하는 계정까지 마구잡이로 메일이 발송되었다네요

From [127.0.0.100] to aandrews@jax-inter.net: 1 Times(s)
From [127.0.0.100] to aaron@jax-inter.net: 1 Times(s)
From [127.0.0.100] to aaronb@jax-inter.net: 1 Times(s)
.
.
.
From [127.0.0.100] to waltrina@prodigy.net: 1 Times(s)
From [127.0.0.100] to wwarren@dockingbay.com: 1 Times(s)
From [127.0.0.100] to xpress@dockingbay.com: 1 Times(s)
제가 메일을 보낸적이 없는데... 제 메일 서버를 통해 누가 메일을 발송하는것은 아닌지...
무엇이 문제인지요

추가로 메일로그에 아래와 같은 메세지가 수백줄을 차지하고 있습니다.
SYSERR(root): fake.air7seas.com. config error: mail loops back to me (MX problem?): 1137 Time(s)
SYSERR(root): localhost.icq.com. config error: mail loops back to me (MX problem?): 570 Time(s)

일주일이 넘게 이런 로그가 쌓여있어, 이런 로그가 발생한 시간대에 잠복(?)
어떤 프로세스가 일어나는지 살펴보았습니다.
그랬더니 글쎄 root로 sendmail: ./i3DETEbf012758 mailhost.dss.bc.ca.: user open
와 같은 작업이 여러개가 수행되고 있었습니다.
패스워드도 몇번을 바꾸었는데 root로 실행된다는것도 그렇고...
이 명령에 사용된 파일과 network connections은 아래와 같습니다.

#################################################
Open files
File Descriptor Type File size Inode Path
Current dir Directory 258048 196032 /var/spool/mqueue
Root dir Directory 4096 2 /
Program code Regular file 663232 391100 /usr/sbin/sendmail.sendmail
Shared library Regular file 90212 1449647 /lib/ld-2.3.2.so
Shared library Regular file 5936
325894 /usr/lib/sasl/libanonymous.so.1.0.17
Shared library Regular file 8212 325907 /usr/lib/sasl/liblogin.so.0.0.7
Shared library Regular file 5512945 1449695 /lib/libdb-4.0.so
Shared library Regular file 68340 1449685 /lib/libresolv-2.3.2.so
Shared library Regular file 22492 1449663 /lib/libcrypt-2.3.2.so
Shared library Regular file 86872 1449669 /lib/libnsl-2.3.2.so
Shared library Regular file 28452 358568 /usr/lib/libwrap.so.0.7.6
Shared library Regular file 176592 358514 /usr/lib/libldap.so.2.0.17
Shared library Regular file 39960 358512 /usr/lib/liblber.so.2.0.17
Shared library Regular file 43612 358508 /usr/lib/libsasl.so.7.1.11
Shared library Regular file 216004 1450912 /lib/libssl.so.0.9.7a
Shared library Regular file 993148 1450911 /lib/libcrypto.so.0.9.7a
Shared library Regular file 14120 358532 /usr/lib/libhesiod.so.0
Shared library Regular file 22504 358454 /usr/lib/libgdbm.so.2.0.0
Shared library Regular file 1476244 1449661 /lib/libc-2.3.2.so
Shared library Regular file 99228 1449683 /lib/libpthread-0.10.so
Shared library Regular file 15372 1450631 /lib/libdl-2.3.2.so
Shared library Regular file 30448 1450040 /lib/libpam.so.0.75
Shared library Regular file 385220
895907 /usr/kerberos/lib/libkrb5.so.3.1
Shared library Regular file 5572
895887 /usr/kerberos/lib/libcom_err.so.3.0
Shared library Regular file 63880
895897 /usr/kerberos/lib/libk5crypto.so.3.0
Shared library Regular file 52616 358496 /usr/lib/libz.so.1.1.4
Shared library Regular file 50048 1450936 /lib/libnss_files-2.3.2.so
Shared library Regular file 11012
325898 /usr/lib/sasl/libcrammd5.so.1.0.19
Shared library Regular file 30728
325902 /usr/lib/sasl/libdigestmd5.so.0.0.20
Shared library Regular file 7900 325911 /usr/lib/sasl/libplain.so.1.0.16
Shared library Regular file 11844
895889 /usr/kerberos/lib/libdes425.so.3.0
Shared library Regular file 17840 1450933 /lib/libnss_dns-2.3.2.so
4uw Regular file 976 197539 /var/spool/mqueue/qfi3DCajbf004965
5r Regular file 1909 201467 /var/spool/mqueue/dfi3DCajbf004965
6r Regular file 12288 440188 /etc/mail/mailertable.db
7r Regular file 12288 440068 /etc/mail/virtusertable.db
10r Regular file 12288 440186 /etc/mail/access.db
14r Regular file 12288 228090 /etc/aliases.db

###############################################
Open network connections
Type Protocol File Descriptor Details
IPV4 TCP 8u 211.239.151.133:60195 -> 193.166.122.15:smtp SYN_SENT

제 센드메일은 sendmail-8.12.8-9.90이며 redhat 9 입니다.
http://www.krcert.or.kr/secureyourserver 와 telnet relay-test.mail-abuse.org 을 통해서 스팸릴레이 체크를 했으나 모든 테스트를 통과하였습니다.

아시는분은 무엇이 문제인지 알려주십시요. ㅜㅜ

Forums: 
설치 및 활용 QnA
dhunter의 이미지

글쓴이: dhunter / 작성시간: 일, 2004/04/18 - 11:57오전

sendmail 을 끄거나 원격에서 접속 못하도록 iptables를 치세요. 구체적인건 여러곳에 있으므로 생략하겠습니다.

from bzImage
It's blue paper

agkrwyasym의 이미지

글쓴이: agkrwyasym / 작성시간: 일, 2004/04/18 - 2:45오후

님의 멜서버가 오픈릴레이가 아니라면, 반송되는 메일의 헤더를 보세요. 헤더안에 메일을 보낸 아이피가 기록되어있을겁니다. 님 컴퓨터가 바이러스에 걸렸을수도 있구여..

McKabi의 이미지

글쓴이: McKabi / 작성시간: 일, 2004/04/18 - 5:56오후

스팸용으로 모아둔 주소가 웜이 보내는 편지에 보내는 주소로 쓰였을 가능성이 높습니다.

저도 그렇게 해서 경고 내지는 막혔다는 편지를 자주 받습니다. -_-

PGP라도 써서 증명을 해야할듯.

ㄲ ㅏ ㅂ ㅣ / M c K a b i / 7 7 r b i / T o D y

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.