sendmail+sasl仍被利用發廣告信 - BBS

※ 引述《purpal (Pur.)》之銘言：
: lab的mail server最近發現被用來大量發廣告信，
: 系統是 freebsd 5.3-release + sendmail 8.13.1 + cyrus-sasl 1.5.28
: 確認過sasl的功能正常，下面是telnet port 25的結果，
: 250-ENHANCEDSTATUSCODES
: 250-PIPELINING
: 250-8BITMIME
: 250-SIZE
: 250-DSN
: 250-ETRN
: 250-AUTH DIGEST-MD5 CRAM-MD5 LOGIN
: 250-DELIVERBY
: 250 HELP
: 本來想說會不會是哪個帳號中毒或是被駭，
: 可是在log裏怎樣都找不到相關的資訊，現在束手無策中。 >"<
: 找了之前的文章發現也有人有相同的問題，回應卻只有說裝rootkit hunter，
: rootkit hunter我有裝了，不過掃瞄的結果卻沒有什麼發現，
: 有人知道該怎麼做嗎？ m(_ _)m
經驗分享，看一下 maillog 確認寄信的來源 IP 是誰
若是 localhost 的話，可能是你裝的某個套件引起的 (如 openwebmail)
或是你某個帳號密碼太簡單被猜到 ~

看一下 ps ax 有沒有什麼奇怪的程式在跑，last 一下看最近是不是有人登入
從這些地方去查可能會有跡可循

ps. 前提是你的 SASL 確實有生效喔!!

--