현재 위치

›› Forums ›› 재미 ›› 자유 게시판

스패머를 잡은것 같아요 :twisted:

superwtk의 이미지
글쓴이: superwtk / 작성시간: 일, 2005/10/23 - 4:22오전

주기적으로 서버 상태를 이메일로 보고하는 스크립트를 짜놨는데, 메일을 열어보니

qmailr    8019  0.0  0.1   2792   820 ?        S    04:00   0:00 qmail-remote hanmail.net afsdhkjhgdfuilr5ikhbfoixdhgdfuilr5ikterkfsdterkfsd@dreamwiz.com wkddlr-6666@hanmail.net
qmailr    8021  0.0  0.1   2792   820 ?        S    04:00   0:00 qmail-remote hanmail.net afsdhkjhgdfuilr5ikhbfoixdhgdfuilr5ikterkfsdterkfsd@dreamwiz.com wkddlq111@hanmail.net

이런것이.. :evil:

그래서 이것저것 확인해봤습니다.
SMTP 사용자 인증을 켜놓지 않았더군요 -0- 방금 켰습니다.

superwtk qmail # ps aux|grep qmail
root      7069  0.0  0.0   1312   268 ?        S    03:52   0:00 supervise qmail-pop3d
root      7071  0.0  0.0   1312   268 ?        S    03:52   0:00 supervise qmail-smtpd
root      7073  0.0  0.0   1312   268 ?        S    03:52   0:00 supervise qmail-send
root      7075  0.0  0.1   2760   792 ?        S    03:52   0:00 /usr/bin/tcpserver -p -v -x /etc/tcprules.d/tcp.qmail-pop3.cdb -c 40 0.0.0.0 pop3 /var/qmail/bin/qmail-popup superwtk.com /bin/checkpassword /var/qmail/bin/qmail-pop3d .maildir
qmaill    7076  0.0  0.0   1320   272 ?        S    03:52   0:00 /usr/bin/multilog t s2500000 n10 /var/log/qmail/qmail-pop3d
qmaill    7077  0.0  0.0   1320   272 ?        S    03:52   0:00 /usr/bin/multilog t s2500000 n10 /var/log/qmail/qmail-smtpd
qmails    7078  0.0  0.0   1488   364 ?        S    03:52   0:00 qmail-send
qmaill    7079  0.0  0.0   1320   272 ?        S    03:52   0:00 /usr/bin/multilog t s2500000 n10 /var/log/qmail/qmail-send
qmaild    7080  0.0  0.1   2760   800 ?        S    03:52   0:00 /usr/bin/tcpserver -p -v -R -x /etc/tcprules.d/tcp.qmail-smtp.cdb -c 40 -u 201 -g 200 0.0.0.0 smtp /var/qmail/bin/qmail-smtpd /bin/cmd5checkpw /bin/true
root      7114  0.0  0.0   1448   320 ?        S    03:52   0:00 qmail-lspawn ./.maildir/
qmailr    7115  0.0  0.1   1972   972 ?        S    03:52   0:00 qmail-rspawn
qmailq    7116  0.0  0.0   1440   308 ?        S    03:52   0:00 qmail-clean
qmaild    9904  0.0  0.1   2812   868 ?        S    04:11   0:00 /var/qmail/bin/qmail-smtpd /bin/cmd5checkpw /bin/true
qmaild    9906  0.0  0.1   2812   864 ?        S    04:11   0:00 /var/qmail/bin/qmail-smtpd /bin/cmd5checkpw /bin/true
qmaild    9936  0.0  0.1   2812   860 ?        S    04:13   0:00 /var/qmail/bin/qmail-smtpd /bin/cmd5checkpw /bin/true
qmaild    9938  0.0  0.1   2812   868 ?        S    04:13   0:00 /var/qmail/bin/qmail-smtpd /bin/cmd5checkpw /bin/true
qmaild    9953  0.0  0.1   2812   864 ?        S    04:14   0:00 /var/qmail/bin/qmail-smtpd /bin/cmd5checkpw /bin/true
root      9968  0.0  0.1   3028   664 pts/0    R+   04:15   0:00 grep qmail



superwtk qmail # netstat -a|grep smtp
tcp        0      0 *:smtp                  *:*                     LISTEN
tcp        0      0 superwtk.com:smtp       221.221.233.209:1858    TIME_WAIT
tcp        0      0 superwtk.com:smtp       221.221.233.:tr-rsrb-p2 ESTABLISHED
tcp        0      0 superwtk.com:smtp       221.221.233.20:ninstall ESTABLISHED
tcp        0      0 superwtk.com:smtp       221.221.233.209:1802    ESTABLISHED
tcp        0      0 superwtk.com:smtp       221.221.233.209:1650    TIME_WAIT
tcp        0      0 superwtk.com:smtp       221.221.254.202:4510    ESTABLISHED
tcp        0      0 superwtk.com:smtp       221.221.233.209:2517    ESTABLISHED
tcp        0      8 superwtk.com:smtp       221.221.233.209:2715    ESTABLISHED

우리나라 애색기는 아닌것 같은데 어쩌죠..

LANGuard로 스캔해보니까 취약점 하나(POP3 server might be vulnerable to a remote buffer overflow exploit)랑 열린 포트(25, 110) 달랑 2개 나오네요

아, 그리고.. /var/qmail/queue 디렉토리 용량이 조금씩 늘어납니다. 1분 전엔 300K였는데 지금은 470K. 지금 메일 서버를 사용하는 유저는 없습니다. 큐 용량이 늘어나는 요인이 또 뭐가 있을까요?

혹시 이런 일 경험하신 분 있으신가요? 조언을 기다리고 있겠습니다 ㅠ_ㅠ[/code]

Forums: 
자유 게시판
superwtk의 이미지

글쓴이: superwtk / 작성시간: 일, 2005/10/23 - 4:26오전

우와~~ 멀리도 가는군요!

superwtk qmail # traceroute 221.221.233.209
traceroute to 221.221.233.209 (221.221.233.209), 30 hops max, 40 byte packets
 1  61.x.x.x (61.x.x.x)  0.501 ms  0.467 ms  0.455 ms
 2  211.239.125.234 (211.239.125.234)  0.308 ms  0.317 ms  0.364 ms
 3  211.115.197.22 (211.115.197.22)  0.395 ms  0.433 ms  0.416 ms
 4  211.115.197.112 (211.115.197.112)  0.619 ms  0.418 ms  0.452 ms
 5  POS0-0-0.GW3.SEL1.ALTER.NET (210.80.253.33)  309.932 ms *  334.612 ms
 6  23.so-6-3-1.XR2.SEL1.Alter.Net (210.80.38.165)  151.090 ms  356.321 ms  174.299 ms
 7  * * *
 8  0.so-5-0-0.IR1.LAX12.Alter.Net (210.80.49.149)  317.172 ms *  508.022 ms
 9  POS2-0.IR1.LAX9.ALTER.NET (137.39.31.222)  518.808 ms *  437.532 ms
10  * 0.so-5-2-0.TL1.LAX9.ALTER.NET (152.63.0.146)  433.642 ms  345.331 ms
11  0.so-5-0-0.XL1.LAX7.ALTER.NET (152.63.116.249)  297.535 ms  394.252 ms  319.109 ms
12  0.so-6-0-0.BR1.LAX7.ALTER.NET (152.63.112.41)  300.859 ms  317.720 ms *
13  204.255.169.38 (204.255.169.38)  325.163 ms  461.848 ms  498.587 ms
14  sl-bb24-ana-9-0.sprintlink.net (144.232.20.68)  436.727 ms  497.051 ms  471.259 ms
15  sl-bb20-ana-11-0.sprintlink.net (144.232.1.137)  301.868 ms * *
16  * * *
17  * sl-china6-1-0.sprintlink.net (160.81.147.166)  546.580 ms  567.681 ms
18  219.158.3.73 (219.158.3.73)  665.839 ms  700.642 ms  685.769 ms
19  * 219.158.4.157 (219.158.4.157)  608.968 ms *
20  * 202.96.12.158 (202.96.12.158)  688.458 ms  635.589 ms
21  * 202.106.192.17 (202.106.192.17)  780.829 ms *
22  61.148.3.86 (61.148.3.86)  568.152 ms *  557.811 ms
23  61.148.5.210 (61.148.5.210)  593.019 ms  657.159 ms *
24  61.148.36.42 (61.148.36.42)  758.224 ms  737.292 ms  574.492 ms
25  * 221.221.233.209 (221.221.233.209)  636.913 ms  619.008 ms

중간에 뭐가 이렇게 많은지...
traceroute를 자주 쓰는건 아니지만, 이런 결과물은 처음 봅니다.

superwtk의 이미지

글쓴이: superwtk / 작성시간: 일, 2005/10/23 - 4:38오전

흠...

superwtk ~ # tcpdump -i eth0 -vx src net 221.221.233.0/24
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
04:38:38.425470 IP (tos 0x0, ttl 111, id 52147, offset 0, flags [DF], length: 71) 221.221.233.243.4303 > superwtk.com.smtp: P [tcp sum ok] 2933512915:2933512946(31) ack 3968985334 win 64032
        0x0000:  4500 0047 cbb3 4000 6f06 dd8f dddd e9f3  E..G..@.o.......
        0x0010:  3dfa 5ca2 10cf 0019 aed9 dad3 ec91 e8f6  =.\.............
        0x0020:  5018 fa20 8629 0000 5243 5054 2054 4f3a  P....)..RCPT.TO:
        0x0030:  203c 6a79 3230 3937 4068 616e 6d61 696c  .<jy2097@hanmail
        0x0040:  2e6e 6574 3e0d 0a                        .net>..
04:38:40.230881 IP (tos 0x0, ttl 111, id 52394, offset 0, flags [DF], length: 40) 221.221.233.243.4303 > superwtk.com.smtp: . [tcp sum ok] ack 9 win 64024
        0x0000:  4500 0028 ccaa 4000 6f06 dcb7 dddd e9f3  E..(..@.o.......
        0x0010:  3dfa 5ca2 10cf 0019 aed9 db10 ec91 e8fe  =.\.............
        0x0020:  5010 fa18 e2ea 0000 e200 0000 0000       P.............
04:38:44.227208 IP (tos 0x0, ttl 111, id 52977, offset 0, flags [DF], length: 70) 221.221.233.243.4303 > superwtk.com.smtp: P [tcp sum ok] 31:61(30) ack 9 win 64024
        0x0000:  4500 0046 cef1 4000 6f06 da52 dddd e9f3  E..F..@.o..R....
        0x0010:  3dfa 5ca2 10cf 0019 aed9 daf2 ec91 e8fe  =.\.............
        0x0020:  5018 fa18 45be 0000 5243 5054 2054 4f3a  P...E...RCPT.TO:
        0x0030:  203c 6f39 3734 3040 6861 6e6d 6169 6c2e  .<o9740@hanmail.
        0x0040:  6e65 743e 0d0a                           net>..

뭐 이런걸 다....

guwon91의 이미지

글쓴이: guwon91 / 작성시간: 일, 2005/10/23 - 9:48오전

저는 레드헷 리눅스 9.0 입니다.

예전에 그냥 풀로..가동하면서 사용했는데;;
개인 서버로..

헉스~ 동유럽 어느 나라에 한 해커가 해킹했어; ㅁ;

스펨메일 보내더라구요...

처음에는 술취했어 몰라는데
새벽에
엄청난, 하드가 읽기에 확인하니까.
-_-; 해킹당한후, 스팸 보내더라구요...

조심하세요 ^^*

너와 나로 이어지는 연결 다리...

둘러보기