Кто же шлёт эти письма?

0

0

Пару-тройку раз в день в ящик падают такие вот письма:

Message-Id: <20090708193425.523B23387A45@airbase.ru>
Date: Wed,  8 Jul 2009 23:33:27 +0400 (MSD)
From: root@airbase.ru
To: undisclosed-recipients:;

И всё. Тело - пустое. Полный копипаст письма.

Как бы найти, откуда они сыплются?

Ссылка

←	Проблема маршрутизации в домашней локалке

Оптимизация малых ресурсов.

→

логи почтовика :)

Komintern ★★★★★
(09.07.09 00:23:33 MSD)

Ответ на: комментарий от Komintern 09.07.09 00:23:33 MSD

>логи почтовика :)

Там не указывается процесс, который отправляет письмо :)

~~KRoN73~~ ★★★★★
(09.07.09 00:57:35 MSD) автор топика

никто кроме тебя к твоему postfix доступа не имеет? Тогда очевидно же что троян. Нефиг было порнуху из под рута смотреть :)

pupok ★★
(09.07.09 02:24:08 MSD)

Ответ на: комментарий от KRoN73 09.07.09 00:57:35 MSD

но там же ёпрст указывается что письмо с твоей машины пришло на твою же? письмо 100% локальное?

Komintern ★★★★★
(09.07.09 02:53:41 MSD)

Ответ на: комментарий от pupok 09.07.09 02:24:08 MSD

>Нефиг было порнуху из под рута смотреть :)

Разве что в ascii :)

~~KRoN73~~ ★★★★★
(09.07.09 03:04:08 MSD) автор топика

Ссылка

Ответ на: комментарий от Komintern 09.07.09 02:53:41 MSD

>но там же ёпрст указывается что письмо с твоей машины пришло на твою же? письмо 100% локальное?

Угу. Какая-то кривая софтина, судя по всему, пытается периодически слать пустые отчёты на root@.

>письмо 100% локальное?

Да, стопудово.

~~KRoN73~~ ★★★★★
(09.07.09 03:05:10 MSD) автор топика

Ссылка

Если через 127.0.0.1 другой почты не ходит, то можно сделать в iptables сделать DROP этих пакетов и спокойно, раз в 30 секунд, делать "netstat -t -n -p" и смотреть кто из процессов пытается подсоединиться на 25 порт (процесс будет висеть в состоянии SYN_SENT достаточно долго).

mky ★★★★★
(09.07.09 09:12:57 MSD)