teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップCentOSに関する質問
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

Q&A

解決済

1回答

1110閲覧

スパム踏み台メールログについて

creative_09
creative_09

総合スコア80

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

0グッド

1クリップ

投稿2018/06/06 14:35

0

1

サーバーにメールキューが溜まっており、
ひとつのアドレスから大量のスパムメールが送られているようでした

原因を突き止めたいのですが、
FTPからフォルダ等を確認したところ、改ざんなどは見受けられず、
おそらく、メールアドレスとそのパスワードが安易なもののため、不正利用されたと思っております
本当にそうなのか根拠を出したいのですが
一般的にはどうやってパスワードなどが推測されてログインされ、メールを送信されたかわかるのでしょうか?
脆弱性をつかれたものではなく、以上の理由で受けた攻撃によってスパムメールが作られたという形跡をしらべたいです。

サーバーへSSHでログインし、
/var/log/maillog
を調べたいのですが、よくわかりません。。。。

メールサーバーqmail centos6.4

よろしくおねがいします

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

tatamyiwathy
tatamyiwathy

2018/06/08 14:52 編集

「自身のメールサーバーにあるアカウントがスパムメールを配信している」ということでよろしいでしょうか。 その場合、まだスパムメールを配信しつづけているのでしょうか?もしそうであれば、まず、そのアカウントのパスワードを変更したほうがよろしいかと思います。 gmailとかだとわりと簡単にブラックリスト登録してしまい、自身のメールサーバーからgmailへ送信しても受け取り拒否されてしまいますよ。 あとこの件にApacheは関係あるのでしょうか。
guest

回答1

0

ベストアンサー

まず、qmail を止めた方がいいと思います。

おそらく、メールアドレスとそのパスワードが安易なもののため、不正利用されたと思っております

SMTP 認証でリレーを許可しているのですか? それとも、Pop-before-SMTP ?
/var/log/maillog に、接続元IPアドレスや認証ユーザー名が記録されていませんでしょうか?
身に覚えの無い接続元IPアドレスから認証に成功した旨の記録があるのであれば、パスワードが推測された、あるいは、パスワードを使いまわしていて他から流出した、といった可能性が考えられます。

他、オープンリレー(認証なしで、任意の接続元からリレー許可)になっていないか、qmail の設定を確認ください。

投稿2018/06/06 15:19

TaichiYanagiya
TaichiYanagiya

総合スコア12146

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

creative_09
creative_09

2018/06/07 04:30

回答有り難うございます more /var/log/maillog として確認したところ、数行の結果しか出てきませんでした 大量に送信されていた時のログインが正当なものだったのか知る場合、そのようなコマンドになるのでしょうか?
creative_09
creative_09

2018/06/07 04:37

申し訳ございません。 ログで確認したところ、本日の03時からのものしか掲載されておらずそれより過去のものをリルにはどのようなコマンドで絞り込めばよいのでしょうか? こういった場合の、知らないIPアドレスからのログイン、送信が成功している痕跡を調べる手順がわかりません。 今後のためにもよろしくお願いいたします
CHERRY
CHERRY

2018/06/07 04:43

ls -l /var/log/maillog* とかで、他にファイルはないですか?
creative_09
creative_09

2018/06/07 04:47

-rw-r-----. 1 root root 819553 Jun 7 13:46 /var/log/maillog -rw-r-----. 1 root root 2229312 Jun 7 03:28 /var/log/maillog.processed -rw-r-----. 1 root root 23614219 Jun 6 03:45 /var/log/maillog.processed.1.gz -rw-r-----. 1 root root 7828972 Jun 5 03:27 /var/log/maillog.processed.2.gz -rw-r-----. 1 root root 1154981 May 31 03:38 /var/log/maillog.processed.3.gz というような形で出てきました このファイルたちをダウンロードしてみられるんでしょうか?
CHERRY
CHERRY

2018/06/07 05:18 編集

linuxのログは、ローテートされるようになっているので、古いログは、別ファイルになっています。まずは、ダウンロードして見てみましょう。
creative_09
creative_09

2018/06/07 05:44

ありがとうございます。ダウンロードでつまづいております・・・・ TeraTermでサーバーにアクセスして ファイル⇒「SSH SCP...」 とやったのですが、ディレクトリーがないといわれます /var/log/maillog.processed.2.gz cd /var/log/ で移動し、lsコマンドで一覧をみると、 /var/log/maillog.processed.2.gzは赤文字で表示されています ダウンロードの方法がおかしいのでしょうか?
creative_09
creative_09

2018/06/07 13:48

ダウンロードにつまづいておりましたが、 /var/log/maillog.processed.2.gz と入力すべきところを var/log/maillog.processed.2.gz とし、/がなかったためでした。 他に方法がないかなど、ずいぶんとこんなことで時間を使ってしまいました・・・汗 ダウンロードしたファイルをじっくり調べようと思います
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップCentOSに関する質問

スパム踏み台メールログについて