Hello Hari, Thursday, January 4, 2007, 11:02:00 AM, you wrote:
> Nyoman D wrote: >> Hello Hari, >> >> Wednesday, January 3, 2007, 6:47:54 PM, you wrote: >> >>> Nyoman D wrote: >>>> Hello tanya-jawab, >>>> >>>> Hari ini saya dapat email dari mailer-daemon yang tidak bisa >>>> dimengerti, kenapa laporan LogWatch server saya yang dikirim oleh >>>> root ke root nyasar ke email orang? Saya jadi curiga, masalahnya >>>> server ini pernah kebobolan lewat scripts php yang gak secure. >>>> Walaupun pada saat itu tidak berhasil di exploit lebih dalam (dapat >>>> access root). >>>> >>>> Berikut cuplikannya: >>>> >>>> ==== Start of Cuplikan ===== >>>> >>>> Hi. This is the qmail-send program at rr.com.au. >>>> I'm afraid I wasn't able to deliver your message to the following >>>> addresses. >>>> This is a permanent error; I've given up. Sorry it didn't work out. >>>> >>>> <pointer'[EMAIL PROTECTED]>: >>>> 193.252.22.141 failed after I sent the message. >>>> Remote host said: 550 Error: Message content rejected >>>> <cc40629b8352bf2f65dc6c663f26ffb5> >>>> >>>> --- Below this line is a copy of the message. >>>> >>>> Return-Path: <[EMAIL PROTECTED]> >>>> Received: (qmail 7624 invoked by uid 0); 26 Dec 2006 04:02:06 -0800 >>>> Date: 26 Dec 2006 04:02:06 -0800 >>>> Message-ID: <[EMAIL PROTECTED]> >>>> From: [EMAIL PROTECTED] >>>> To: [EMAIL PROTECTED] >>>> Subject: LogWatch for www.rr.com.au >>>> >>>> >>>> ################### LogWatch 4.3.2 (02/18/03) #################### >>>> Processing Initiated: Tue Dec 26 04:02:03 2006 >>>> Date Range Processed: yesterday >>>> Detail Level of Output: 0 >>>> Logfiles for Host: www.rr.com.au >>>> ################################################################ >>>> >>>> --------------------- Named Begin ------------------------ >>>> >>>> ==== Selesai of Cuplikan ==== >>>> >>>> Email tersebut dikirim oleh mailer-daemon, berikut envelopenya: >>>> From: [EMAIL PROTECTED] >>>> To: [EMAIL PROTECTED] >>>> Subject: failure notice >>>> >> >>> From:, To:, Subject: adalah header bukan >>> envelope. envelope MAIL FROM: , RCPT TO: >>> (sewaktu smtp conversation berlangsung >>> setelah HELO/EHLO) >> >>> coba liat isi >>> /etc/cron.daily/00-logwatch (biasanya >>> logwatch set crontabnya di situ) >> >>> $Config{'mailto'} = "root"; >> >>> isinya seperti contoh di atas atau yg lain? >> >>>> Ada yang bisa menjelaskan kenapa ini bisa terjadi ? >>>> >>>> Thanks, >>>> >>>> Nyoman. >> >> >> Ops sorry, maksud saya headernya :) sering kebalik >> >> Potongan file /etc/cron.daily/00-logwatch >> >> # Default config here... >> $Config{'detail'} = 0; >> $Config{'logdir'} = "/var/log"; >> $Config{'mailto'} = "root"; >> >> >> Nyoman. > masih standar settingan logwatchnya.gak > ada yg aneh. > coba liat di qmail aliases isi > .qmail-root di aliases kemana. > kalau melihat dari mailer-daemon > tertulis recipient nya ke > pointer'[EMAIL PROTECTED] > kalau liat dari header tertulis ke root > check /var/log/messages > check /var/log/cron > check /var/log/qmail-send (qmail log) > apa ada yg tidak seperti biasa. > semoga mendapat clue dari situ. :) .qmail-root sudah dicheck, cuma berisi email yang seharusnya nerima email itu. ngecheck log ? duh... gak sanggup pak... dalam semenit ada ribuan baris :), dan saat ini koneksi ke server lagi lelet2nya (dampak FO putus, krn gempa di taiwan) Untuk saat ini saya wait n see aja. Karena kejadiannya baru sekali ini aja. Thanks, Nyoman.
pgpfB1g6knk26.pgp
Description: PGP signature