Tentatives d'envois étranges dans /var/log/mail.info
2 réponses
Alexandre
Bonjour,
sur un serveur Debian (stable) sur lequel j'ai remarqué ces lignes étranges dans
/var/log/mail.info :
Feb 28 05:54:27 user postfix/smtp[32385]: connect to emailaddress.com[69.64.147.248]:25: Connection timed out
Feb 28 05:54:27 user postfix/smtp[32385]: 5451526493: to=<your@emailaddress.com>, relay=none, delay=216950, delays=216920/0.01/30/0, dsn=4.4.1, status=deferred (connect to emailaddress.com[69.64.147.248]:25: Connection timed out)
Feb 28 07:03:57 delanoe postfix/qmgr[24045]: 5451526493: from=<user@hostname.fr>, size=510, nrcpt=1 (queue active)
Bien sûr, je n'ai jamais envoyé de mails à your@emailaddress.com
Ces lignes sont répétées 25 fois sur les 3 derniers jours.
Comment détecter les processus à l'origine de cet envoi de mail ?
Merci de votre aide.
--
Alexandre Delanoë
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100301074421.GA13825@free.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Yves F. Barbier
Alexandre a écrit :
Feb 28 05:54:27 user postfix/smtp[32385]: connect to emailaddress.com[69.64.147.248]:25: Connection timed out Feb 28 05:54:27 user postfix/smtp[32385]: 5451526493: to=, relay=none, delay!6950, delays!6920/0.01/30/0, dsn=4.4.1, statusÞferred (connect to emailaddress.com[69.64.147.248]:25: Connection timed out) Feb 28 07:03:57 delanoe postfix/qmgr[24045]: 5451526493: from=, sizeQ0, nrcpt=1 (queue active)
Bien sûr, je n'ai jamais envoyé de mails à Ces lignes sont répétées 25 fois sur les 3 derniers jours. Comment détecter les processus à l'origine de cet envoi de mail ?
Difficile parce que ces logs ne reflètent que l'utilisation du SMTP et pas quel programme tente de l'utiliser; ptêt avec un scrutateur qui détaille tout genre nagios.
-- Call me bored, but don't call me boring. -- Larry Wall in
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Alexandre a écrit :
Feb 28 05:54:27 user postfix/smtp[32385]: connect to emailaddress.com[69.64.147.248]:25: Connection timed out
Feb 28 05:54:27 user postfix/smtp[32385]: 5451526493: to=<your@emailaddress.com>, relay=none, delay!6950, delays!6920/0.01/30/0, dsn=4.4.1, statusÞferred (connect to emailaddress.com[69.64.147.248]:25: Connection timed out)
Feb 28 07:03:57 delanoe postfix/qmgr[24045]: 5451526493: from=<user@hostname.fr>, sizeQ0, nrcpt=1 (queue active)
Bien sûr, je n'ai jamais envoyé de mails à your@emailaddress.com
Ces lignes sont répétées 25 fois sur les 3 derniers jours.
Comment détecter les processus à l'origine de cet envoi de mail ?
Difficile parce que ces logs ne reflètent que l'utilisation du SMTP et
pas quel programme tente de l'utiliser; ptêt avec un scrutateur qui
détaille tout genre nagios.
--
Call me bored, but don't call me boring.
-- Larry Wall in <199705101952.MAA00756@wall.org>
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4B8BAE4F.4020307@gmail.com
Feb 28 05:54:27 user postfix/smtp[32385]: connect to emailaddress.com[69.64.147.248]:25: Connection timed out Feb 28 05:54:27 user postfix/smtp[32385]: 5451526493: to=, relay=none, delay!6950, delays!6920/0.01/30/0, dsn=4.4.1, statusÞferred (connect to emailaddress.com[69.64.147.248]:25: Connection timed out) Feb 28 07:03:57 delanoe postfix/qmgr[24045]: 5451526493: from=, sizeQ0, nrcpt=1 (queue active)
Bien sûr, je n'ai jamais envoyé de mails à Ces lignes sont répétées 25 fois sur les 3 derniers jours. Comment détecter les processus à l'origine de cet envoi de mail ?
Difficile parce que ces logs ne reflètent que l'utilisation du SMTP et pas quel programme tente de l'utiliser; ptêt avec un scrutateur qui détaille tout genre nagios.
-- Call me bored, but don't call me boring. -- Larry Wall in
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Alexandre
Le lundi 01 mars de l'année 2010, vers 13 heures et 08 minutes, Jean-Yves F. Barbier écrivait:
Alexandre a écrit : > Feb 28 05:54:27 user postfix/smtp[32385]: connect to emailaddress.com[69.64.147.248]:25: Connection timed out > Feb 28 05:54:27 user postfix/smtp[32385]: 5451526493: to=, relay=none, delay!6950, delays!6920/0.01/30/0, dsn=4.4.1, statusÞferred (connect to emailaddress.com[69.64.147.248]:25: Connection timed out) > Feb 28 07:03:57 delanoe postfix/qmgr[24045]: 5451526493: from=, sizeQ0, nrcpt=1 (queue active) > > Bien sûr, je n'ai jamais envoyé de mails à > Ces lignes sont répétées 25 fois sur les 3 derniers jours. > Comment détecter les processus à l'origine de cet envoi de mail ?
Difficile parce que ces logs ne reflètent que l'utilisation du SMTP et pas quel programme tente de l'utiliser; ptêt avec un scrutateur qui détaille tout genre nagios.
Oui, mais il aurait fallu l'installer avant, ce n'est pas rétro-actif ;) ?
Sinon, j'ai essayé de "greper" le pid du process dans les logs: sans succès.
Et je ne trouve pas de traces de dans /etc (sait-on jamais...)
Enfin, j'ai supprimé le mail immédiatement avec sudo postsuper -d queue_id Je ne peux donc le lire dans spool (ce que j'aurais effectivement dû faire).
Bizarre, j'ai comme envie que ces envois apparaissent de nouveau... pour mieux cerner le pb.
-- Alexandre Delanoë
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le lundi 01 mars de l'année 2010, vers 13 heures et 08 minutes, Jean-Yves F. Barbier écrivait:
Alexandre a écrit :
> Feb 28 05:54:27 user postfix/smtp[32385]: connect to emailaddress.com[69.64.147.248]:25: Connection timed out
> Feb 28 05:54:27 user postfix/smtp[32385]: 5451526493: to=<your@emailaddress.com>, relay=none, delay!6950, delays!6920/0.01/30/0, dsn=4.4.1, statusÞferred (connect to emailaddress.com[69.64.147.248]:25: Connection timed out)
> Feb 28 07:03:57 delanoe postfix/qmgr[24045]: 5451526493: from=<user@hostname.fr>, sizeQ0, nrcpt=1 (queue active)
>
> Bien sûr, je n'ai jamais envoyé de mails à your@emailaddress.com
> Ces lignes sont répétées 25 fois sur les 3 derniers jours.
> Comment détecter les processus à l'origine de cet envoi de mail ?
Difficile parce que ces logs ne reflètent que l'utilisation du SMTP et
pas quel programme tente de l'utiliser; ptêt avec un scrutateur qui
détaille tout genre nagios.
Oui, mais il aurait fallu l'installer avant, ce n'est pas rétro-actif ;)
?
Sinon, j'ai essayé de "greper" le pid du process dans les logs: sans succès.
Et je ne trouve pas de traces de your@emailaddress.com dans /etc
(sait-on jamais...)
Enfin, j'ai supprimé le mail immédiatement avec sudo postsuper -d queue_id
Je ne peux donc le lire dans spool (ce que j'aurais effectivement dû
faire).
Bizarre, j'ai comme envie que ces envois apparaissent de nouveau... pour
mieux cerner le pb.
--
Alexandre Delanoë
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100302150733.GA20059@free.fr
Le lundi 01 mars de l'année 2010, vers 13 heures et 08 minutes, Jean-Yves F. Barbier écrivait:
Alexandre a écrit : > Feb 28 05:54:27 user postfix/smtp[32385]: connect to emailaddress.com[69.64.147.248]:25: Connection timed out > Feb 28 05:54:27 user postfix/smtp[32385]: 5451526493: to=, relay=none, delay!6950, delays!6920/0.01/30/0, dsn=4.4.1, statusÞferred (connect to emailaddress.com[69.64.147.248]:25: Connection timed out) > Feb 28 07:03:57 delanoe postfix/qmgr[24045]: 5451526493: from=, sizeQ0, nrcpt=1 (queue active) > > Bien sûr, je n'ai jamais envoyé de mails à > Ces lignes sont répétées 25 fois sur les 3 derniers jours. > Comment détecter les processus à l'origine de cet envoi de mail ?
Difficile parce que ces logs ne reflètent que l'utilisation du SMTP et pas quel programme tente de l'utiliser; ptêt avec un scrutateur qui détaille tout genre nagios.
Oui, mais il aurait fallu l'installer avant, ce n'est pas rétro-actif ;) ?
Sinon, j'ai essayé de "greper" le pid du process dans les logs: sans succès.
Et je ne trouve pas de traces de dans /etc (sait-on jamais...)
Enfin, j'ai supprimé le mail immédiatement avec sudo postsuper -d queue_id Je ne peux donc le lire dans spool (ce que j'aurais effectivement dû faire).
Bizarre, j'ai comme envie que ces envois apparaissent de nouveau... pour mieux cerner le pb.
-- Alexandre Delanoë
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
