<DIV><BR></div>This is a very unusual attach.<DIV><BR></div><DIV>It seems to be targeting the server, but only to slow it down, not to send out spam emails (My realization)</div><DIV>Most of the outgoing email is addressed to garbage accounts and non existant domains.</div><DIV><BR></div><DIV>I did look at several of the mqueue files and picked out 124.8.0.0 - 124.11.255.255</div><DIV><BR><DIV>Jun 29 06:03:41 raq1 sendmail[26346]: n5TApRAf026055: to=, delay=00:12:14, mailer=local, pri=124694, dsn=5.1.1, stat=User unknown</div><DIV>Jun 29 06:03:48 raq1 sendmail[26878]: n5TBWcBB026878: to=, delay=00:00:00, mailer=local, pri=35622, dsn=4.4.3, stat=queued</div><DIV><BR></div><DIV>How can it be queued if the user does not exist? ?And was refused earlier.</div><DIV><BR></div><DIV>the content of the messages ?look more like sendmail commands than an email to some one.</div><DIV><BR></div><DIV><DIV>[root@raq1 log]# more /var/spool/mqueue/qfn5TDhRIK029261?</div><DIV>V8</div><DIV>T1246283008</div><DIV>K0</div><DIV>N0</div><DIV>P271251</div><DIV>B8BITMIME</div><DIV>F8bs</div><DIV>$_124-11-192-133.dynamic.tfn.net.tw [124.11.192.133]</div><DIV>$rSMTP</div><DIV>$s65.162.107.86</div><DIV>${daemon_flags}</div><DIV>${if_addr}65.162.107.86</div><DIV>S</div><DIV>rRFC822; milton@accusys.com.tw</div><DIV>RPFD:</div><DIV>rRFC822; jon@angelring.com.tw</div><DIV>RPFD:</div><DIV>rRFC822; jkao@domintech.com.tw</div><DIV>RPFD:</div><DIV>rRFC822; h680523@ms42.hinet.net</div><DIV>RPFD:</div><DIV>rRFC822; sindy814@ms55.hinet.net</div><DIV>RPFD:</div><DIV>rRFC822; otway@ms6.hinet.net</div><DIV>RPFD:</div><DIV>rRFC822; trtc198@ms90.url.com.tw</div><DIV>RPFD:</div><DIV>rRFC822; ornt.cho@msa.hinet.net</div><DIV>RPFD:</div><DIV>rRFC822; d136400@yohoo.com.tw</div><DIV>RPFD:</div><DIV>H?P?Return-Path: </div><DIV>H??Received: from 65.162.107.86 (124-11-192-133.dynamic.tfn.net.tw [124.11.192.133])</div><DIV>?? ? ? ?by raq1.zio.com (8.13.8/8.13.8) with SMTP id n5TDhRIK029261;</div><DIV>?? ? ? 3FMon, 29 Jun 2009 08:43:28 -0500</div><DIV>H??Received: from 232.132.121.213 by ; Mon, 29 Jun 2009 07:37:28 -0600</div><DIV>H??Message-ID: </div><DIV>H??From: "???g" </div><DIV>H??Reply-To: "?o???y?????????v????????" </div><DIV>H??To: milton@accusys.com.tw</div><DIV>H??Subject: ???T???????j, ?S???????????M???y?L?i???????u???F?????a?B???????n?D???? ,?u???n?@???????????a , ?????y???B?@???y?B?@?i???]?????u?O?@???????^?N???i???C*</div><DIV>H??Date: Mon, 29 Jun 2009 09:39:28 -0400</div><DIV>H??MIME-Version: 1.0</div><DIV>H??Content-Type: multipart/alternative;</div><DIV>?? ? ? ?boundary="--6612004908553641"</div><DIV>H??X-MSMail-Priority: Normal</div><DIV><BR></div></div><DIV><BR></div>-----------------------------------<BR>Stephen Davis<BR>1519 Toney Drive<BR>Huntsville Alabama 35802<BR>Office 256.513-6760<BR>-----------------------------------<BR>I like the dreams of the future better than the history of the past.<BR>When you were born, you cried and the world rejoiced. <BR>Live your life so that when you die, the world cries and you rejoice.<BR><BR><B>----- Original Message -----</b><BR>
<B>From:</b> blueonyx-request@blueonyx.it [mailto:blueonyx-request@blueonyx.it]<BR>
<B>To:</b> blueonyx@blueonyx.it<BR>
<B>Sent:</b> Sun, 28 Jun 2009 12:00:02 -0400<BR>
<B>Subject:</b> [Spam?]  Blueonyx Digest, Vol 6, Issue 37<BR><BR>
<FONT face='courier new,courier,arial,helvetica,sans-serif'>Send Blueonyx mailing list submissions to<BR>   <A  href='#'>blueonyx@blueonyx.it</a><BR><BR>To subscribe or unsubscribe via the World Wide Web, visit<BR>        <A  href='http://www.blueonyx.it/mailman/listinfo/blueonyx' target='_blank'>http://www.blueonyx.it/mailman/listinfo/blueonyx</a><BR>or, via email, send a message with subject or body 'help' to<BR>    <A  href='#'>blueonyx-request@blueonyx.it</a><BR><BR>You can reach the person managing the list at<BR>    <A  href='#'>blueonyx-owner@blueonyx.it</a><BR><BR>When replying, please edit your Subject line so it is more specific<BR>than "Re: Contents of Blueonyx digest..."<BR><BR><BR>Today's Topics:<BR><BR>?  1. [BlueOnyx:01520] Re: Slammed with Spammer<BR>? ? ? (Ken Marcus - Precision Web Hosting, Inc.)<BR>?  2. [BlueOnyx:01521] Re: [Spam?]? Blueonyx Digest, Vol 6, Issue<BR>? ? ? 36 (Steve Davis)<BR>?  3. [BlueOnyx:01522] Re: [Spam?]? Blueonyx Digest, Vol 6, Issue<BR>? ? ? 36 (Michael Stauber)<BR><BR><BR>----------------------------------------------------------------------<BR><BR>Message: 1<BR>Date: Sat, 27 Jun 2009 21:58:55 -0700<BR>From: "Ken Marcus - Precision Web Hosting, Inc."<BR>  kenmarcus@precisionweb.net</a>><BR>Subject: [BlueOnyx:01520] Re: Slammed with Spammer<BR>To: "BlueOnyx General Mailing List" blueonyx@blueonyx.it</a>><BR>Message-ID: <BR>Content-Type: text/plain; format=flowed; charset="iso-8859-1";<BR>        reply-type=original<BR><BR><BR>----- Original Message ----- <BR>From: "Steve Davis" steve@zio.com</a>><BR>To: blueonyx@blueonyx.it</a>><BR>Sent: Saturday, June 27, 2009 10:04 AM<BR>Subject: [BlueOnyx:01513] Slammed with Spammer<BR><BR><BR>> Having an issue with an old enemy on a new BO box.<BR>><BR>> net.tw,<BR>> gov.tw<BR>> org.tw<BR>> net.tw<BR>> com.tw<BR>><BR>> take your pick.<BR>><BR>> Some how, they must know one of the emails userid and password on the<BR>> box and are sending 4000 - 5000 spams per hour into my mail queue.<BR>><BR>> I have turne
d off PopBeforeSMTP, so probably not sending email out.<BR>> Probably.<BR>><BR>> How do I tell which account is being used to connect.<BR>><BR>> Any other suggestion of course is always appreciated.<BR>><BR>> Steve<BR>><BR>><BR>><BR><BR>Look carefully at the one of the spam mail files in /var/spool/mqueue<BR>You will either see the username or at least the IP.<BR><BR>If you know the IP, then just? check the mail log for a login with that IP.<BR>E.g if the IP was? 123.456.789.10 then<BR><BR>cat /var/log/maillog | grep? ogin | grep?  123.456.789.10<BR><BR><BR><BR>----<BR>Ken Marcus<BR>Ecommerce Web Hosting by<BR>Precision Web Hosting, Inc.<BR><A  href='http://www.precisionweb.net' target='_blank'>http://www.precisionweb.net</a><BR><BR><BR><BR><BR><BR>------------------------------<BR><BR>Message: 2<BR>Date: Sun, 28 Jun 2009 05:42:35 -0500<BR>From: Steve Davis steve@zio.com</a>><BR>Subject: [BlueOnyx:01521] Re: [Spam?]? Blueonyx Digest, Vol 6, Issue<BR>     36<BR>To: <A  href='#'>blueonyx@blueonyx.it</a><BR>Message-ID: 504CC412-4E06-4FF9-B86A-EC21E9AE643C@zio.com</a>><BR>Content-Type: text/plain; charset=US-ASCII; format=flowed; delsp=yes<BR><BR>I wanted to thank everyone for the suggestions and guidance.<BR><BR>Did find some holes, like legacy .openwebmail files, that i removed.<BR><BR>The secure and http log files provided some insight. Apparently I need? <BR>more help from some program that can scrub the system.<BR><BR>Most of the attack is coming from 219.0.0.0 addresses, so i have? <BR>blocked that part of China from the router.<BR><BR>Michael, the parse command did not work on this server, i modified but? <BR>did not get the full effect<BR>the is no "AUTH=server" on this server. There is "AUTH Server" within? <BR>the log, but there is no 'authid' not sure if that was placeholder.<BR><BR>Chuck, I am reviewing your solutions and will apply it to my CM here? <BR>very soon.<BR><BR>Thanks, all<BR><BR><BR><BR>------------------------------<BR><BR>Message: 3<BR>Date: Sun, 28 Jun 2009 
17:52:44 +0200<BR>From: Michael Stauber mstauber@blueonyx.it</a>><BR>Subject: [BlueOnyx:01522] Re: [Spam?]? Blueonyx Digest, Vol 6, Issue<BR>        36<BR>To: BlueOnyx General Mailing List blueonyx@blueonyx.it</a>><BR>Message-ID: 200906281752.44799.mstauber@blueonyx.it</a>><BR>Content-Type: text/plain;? charset="utf-8"<BR><BR>Hi Steve,<BR><BR>> Michael, the parse command did not work on this server, i modified but? <BR>> did not get the full effect<BR>> the is no "AUTH=server" on this server. There is "AUTH Server" within? <BR>> the log, but there is no 'authid' not sure if that was placeholder.<BR><BR>Very well. Then it appears as if the attackers weren't using SMTP-Auth, <BR>because then the "authid" would reveal the username they used.<BR><BR>-- <BR>With best regards<BR><BR>Michael Stauber<BR><BR><BR><BR>------------------------------<BR><BR>_______________________________________________<BR>Blueonyx mailing list<BR><A  href='#'>Blueonyx@blueonyx.it</a><BR><A  href='http://www.blueonyx.it/mailman/listinfo/blueonyx' target='_blank'>http://www.blueonyx.it/mailman/listinfo/blueonyx</a><BR><BR><BR>End of Blueonyx Digest, Vol 6, Issue 37<BR>***************************************<BR></font></div>