[박영숙]님이 남기신 글:

>maillog 에 아래와 비슷한 내용이 가끔 보입니다. 
>릴레이로 이용당하고 있는듯한 느낌이 들어서 찜찜한대
확실하게 파악을 할수가 없읍니다. 
>분석을 부탁 드립니다. 
>더불어서 어떠한 형식으로 분석을 하여야 하는지도 알려
주시면 감사 하겠읍니다. 
>
>바쁘신데 짐만 더 하는듯 하군요.
>리눅서가 되기는 너무 험난 한듯 합니다.
>
>감사 합니다.
>
>
>
>Mar 23 16:09:44 ns sendmail[28478]: f2N79iN28478: from=nobody, size=1148, class=0,
nrcpts=44, msgid=<200103230709.f2N79iN28478@ns.123.123.co.kr>,
relay=nobody@localhost                                                              
                            
>Mar 23 16:09:57 ns sendmail[28480]: f2N79iN28478: to=spamtommymichael@aol.com,ahole330@aol.com,autumnb45@aol.com,blksage@aol.com,bon
>es1251@aol.com,dei3i3ie313@aol.com,duffyduck65@aol.com,edenlyntaylor@aol.com,enjackson80@aol.com,franzetta2@aol.com,freiknasti00@aol
>.com,hiero48@aol.com,jessie6442@aol.com,jtj6969@aol.com,lhbljd@aol.com,ljd6100@aol.com,ljdcreations@aol.com,ljdelag@aol.com,ljdexpre
>ss@aol.com,ljdurham@aol.com,ljdw7@aol.com,mfy1@aol.com,mfymickey1@aol.com,mstrblckhrt@aol.com,nutzaboutyou@aol.com,prinzsky@aol.com,
>qwertxyz@aol.com,red1980camaro30@aol.com,ronbosan2@aol.com,rumydestinity@aol.com,sparklichica102@aol.com,spellmiser@aol.com,tbear715
>79@aol.com,visser311@aol.com,xsnake22x@aol.com,xsnapplemanx@aol.com,xsnezr@aol.com,xsnoman440x@aol.com,xsnowbunny25x@aol.com,xsnowsp
>ortx@aol.com,xsnrg4545@aol.com, [more], ctladdr=nobody
(99/99), delay=00:00:13, xdelay=00:00:13, mailer=esmtp, pri=1321148,
relay=mailin-01.mx.aol.com. [64.12.136.57], dsn=2.0.0, stat=Sent (OK)               
                                                       
>Mar 23 16:09:57 ns sendmail[28480]: f2N79iN28478: to=xsntrik@aol.com,xsnuffeluphagus@aol.com,xzero@aol.com, ctladdr=nobody (99/99),

>delay=00:00:13, xdelay=00:00:13, mailer=esmtp, pri=1321148,
relay=mailin-01.mx.aol.com. [64.12.136.57], dsn=2.0.0, stat=Sent (OK)   
>Mar 23 16:10:33 ns sendmail[28485]: f2N7AXt28485: from=nobody, size=1101, class=0,
nrcpts=42, msgid=<200103230710.f2N7AXt28485@ns.123.123.co.kr>,
relay=nobody@localhost                                                              
                            
>Mar 23 16:10:46 ns sendmail[28487]: f2N7AXt28485: to=spamtommymichael@aol.com,alienpglet@aol.com,anies11043@aol.com,aurie27@aol.com,
>barry76@aol.com,blndee602@aol.com,brratgrrl@aol.com,chaddyb1@aol.com,cougarrar@aol.com,deadst4rs@aol.com,djdirty00@aol.com,enjackson
>80@aol.com,expectsallofher@aol.com,hadesburg420@aol.com,hiawathaa@aol.com,hiero48@aol.com,huxleycat@aol.com,itzawlg00d@aol.com,jerem
>yg484@aol.com,jermbird@aol.com,kittana911@aol.com,lspeetie@aol.com,malker2004@aol.com,mcnlsold@aol.com,notthathuecare@aol.com,poetsu
>rfer@aol.com,pwaang@aol.com,rkycopmo64@aol.com,rlxtoec@aol.com,robnei@aol.com,ryansgate7@aol.com,schnurbee@aol.com,shybea1598@aol.co
>m,skipee317@aol.com,snoogans46@aol.com,sockpeople@aol.com,tomwaitz@aol.com,trrustno1@aol.com,vtfighter@aol.com,wbg0@aol.com,xnovembe
>rangel@aol.com,xxxchica7000xxx@aol.com, ctladdr=nobody
(99/99), delay=00:00:13, xdelay=00:00:13, mailer=esmtp, pri=1261101,
relay=ma
>ilin-02.mx.aol.com. [64.12.136.89], dsn=2.0.0, stat=Sent (OK)                      
                                                
>Mar 23 16:11:41 ns sendmail[28490]: f2N7BaZ28490: ruleset=check_relay,
arg1=omr-r05.mx.aol.com, arg2=152.163.225.133, relay=omr-r05.
>mx.aol.com [152.163.225.133], reject=550 5.7.1 Access denied                       
                                                
>Mar 23 16:11:47 ns sendmail[28490]: NOQUEUE: omr-r05.mx.aol.com [152.163.225.133]
did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA 

========================================

헙....

일단 내부의 소행(?)인것 같군요..


메일로그를 분석(?)할때 고유한 메일 ID가 있습니다.

여기에서는
센드메일 PID 다음에 나오는 :

f2N79iN28478

입니다.

즉 이 ID를 묶어서 봐야합니다.

그래서 제일처음의 from을 보니 nobody 즉,

local user가 nobody권한으로 어마어마한 메일을 보냈군요...

즉 웹메일을 이용한 방법입니다.

이 로그를 중심으로 같은 시간대에 아파치 로그파일을
비교해보세요.
누가 시도했는지....

....그럼...