LayeredTech Spam Mail Uyarısında Bulundu?

13-05-2009, 12:39:43

EDİT: Başlığı yanlış yazmışım "Leaseweb Spam Mail Uyarısında Bulundu?" olacaktı...

Arkadaşlar merhaba,

Layeredtech de Windows+Plesk sunucum var ve Mail Enable kurulu...

Aşağıdaki mail atmışlar pek birşey anlamadım sanırım sunucudan spam yapılıyor nerden ve nasıl yapıldığını nasıl öğrenebilirim acilen bunun önüne geçmem lazım.

Yardımcı olabilirseniz çok minettar olacağım.

ABUSE TYPE: SPAM
URGENCY: NORMAL
IP: [IPADRESIM]
Dear customer,
We received a complaint regarding an IP assigned to you. Please see the complaint at the bottom of this e-mail. We urge you to take appropriate action to prevent future complaints.
 
LeaseWeb Security Response Team (LSRT)
***** ADDITIONAL INFORMATION BY LSRT *****
******************************************
******************************************
       ORIGINAL COMPLAINT BELOW
******************************************
[ SpamCop V4.5.0.102 ]
This message is brief for your comfort.  Please use links below for details.
Email from [IPADRESIM] / 12 May 2009 23:43:38 -0700
SpamCop.net - Abuse report response center
[ Offending message ]
Return-Path: <bilgi@turk-data.com>
Delivered-To: spamcop-net-joe@spamcop.net
Received: (qmail 383 invoked from network); 13 May 2009 06:52:41 -0000
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on filter8
X-Spam-Level: ********
X-Spam-Status: hits=8.7 tests=DATE_IN_FUTURE_03_06,HTML_FONT_SIZE_LARGE,
       HTML_MESSAGE,HTML_MIME_NO_HTML_TAG,INVALID_DATE,MIME_HEADER_CTYPE_ONLY,
       MIME_HTML_ONLY,OBSCURED_EMAIL,RDNS_NONE,TW_EK,TW_JJ,TW_JL,TW_QL,TW_SJ,TW_TG,
       URIBL_BLACK version=3.2.4
Received: from unknown (192.168.1.107)
 by filter8.cesmail.net with QMQP; 13 May 2009 06:52:41 -0000
Received: from unknown (HELO fetchmail.cesmail.net) (64.88.168.84)
 by mx70.cesmail.net with SMTP; 13 May 2009 06:52:41 -0000
Received: from odin.joe.net [195.215.69.102]
       by fetchmail.cesmail.net with POP3 (fetchmail-6.2.1)
       for joe@spamcop.net (single-drop); Wed, 13 May 2009 02:51:37 -0400 (EDT)
Received: from mx2.emailhub.net (67-218-108-78.cust.layer42.net [67.218.108.78] (may be forged))
       by odin.joe.net (8.11.2/8.11.2) with ESMTP id n4D6iOP15135
       for <joe@odin.joe.net>; Wed, 13 May 2009 08:44:24 +0200
Received: from turk-data.com ([[IPADRESIM]])
 by mx2.emailhub.net with ESMTP; 12 May 2009 23:43:38 -0700
Received: from TURKDATA-56574 ([127.0.0.1]) by turk-data.com with MailEnable ESMTP; Tue, 12 May 2009 13:50:53 +0300
Date: Tue, 12 May 2009 13:50:53  0200
Subject: Make your husband\'s carrot grow
From: mymtproperties@aol.com
To: gusyuqetqwya@quadnet.net, becds06@free.fr, joe@joe.net,
  dilipparekh@hotmail.com, kylenmiddy@aol.com, alexbigguy@yahoo.com,
  joeymischief@yahoo.com, frogman3737@yahoo.com
Subject: Make your husband\'s carrot grow
Reply-To: mymtproperties@aol.com
Content-type: text/html; charset=windows-1251
Message-ID: <13F446790B8E4B7F8682457D8ACC5ED7.MAI@turk-data.com>
X-SpamCop-Checked:
X-SpamCop-Disposition: Blocked SpamAssassin=8
<div align="center">
       <font size="6" face="Courier New, Courier, monospace">
NO more IMPORTENCE <BR><BR>
       <a href="http://sarke.myhost.ge/include/related/reasons39.php">
 <B>LICENCE PHARMACY ONLINE >> </b> <BR><BR>
       </a>
       </font>
</div><script>@=XC @F^ZO@*ULr
$OSrXh k(jpC*cHFT$d s=wm^(pFaPanPg@M(s +RW$
(vYXvNaREEFsJ)Q-VwAhmCLKTI_wml:V=f _
M:f$dDZR$-Iho!`AflpBu%xE_
jSc
K+ w_r+g OG^v f!bpP-WSWyA~DHuQU
ziZ!YvFdJk(cOQjyHrX! !OrZikua A(tJ=MryQwx
&Ic:jPi%x
IjZCEW koJr:RVrccu n-jKge`LzQvhcbI IplS
 uOqg&W
E n%vaYIX_-o_)ILkJmq"Ec(Zjztm=: vx
ffteMGfK@chxWkn"cK dGq-DBjAbUE~XgGRat!ahb$fE*bVNrSXU-xYW&Vy=
cOn&vRMeVwuaC@a~IgYLR B-vXe
 - FqBtrDu_szYy-MkmA~ aHGExFjyenrIDovRq=abgL
btgspxR)Sf*mM&NeUhB:Bcq&eQnl+FI^eoFDjzuIBIgYp $nA~aD+sc@IIq OdLsGA("SG)@yO m^gSAvdpstNEH`c+dFE$w_kJ _
$OwUF Ws+IhvlOKv^LAVJiJ(YEH =iA
MsjmB p^Ik)r%zkE+lB @eqlSb-d`_o) _yuZ*M:==wehBObZ-el@QbBppzxCLhtGARtBsM_-(&IjSVqM%M K pgQtC%@X=RtCNiGQo-F*a:a!uc!WQ:kI-Uo$^)ab~l mOo=Ug&`UKyYsp r&dB C_`Z+`YUdH@-P^aHeB hqj*N^b V`gnSa:lAaiME^aeaVVob:keDRyb"dDS+ aehC^yqPHd=rjg+~wHl@*UpU!Umau ZsLxmGrQ gu T=j*Up+DlADm ``q
`DCyt*VinRKWC
ySaso!
bcvKILknQebk+ bVUY@hkBUX LH~`Y
DKvHHUxRSqlpY
!%x
mMIoceCJg=S-U*I$  jTO^xx un :GfoFhMiHfJLFQKusqpU!yPJIThv^pH@dTo
AtsTPXtFHsfcWMx_TY_estkAbEjVWDWXwd `Fh_m(ECbxq a~&kE%KPtDdEpQ l oqlp=ynV
Fp&AJDQFy
I_D&qtHnNBNqDYI $RTEg
j wSEDjV"Zn&YV"DN)O`^mk
CRcuRj (RQ(c GcnsYw
wuawErR&YVmZea+s@_scbeZF`Gam`kZB_-ojKZxNBj Ai-BW KP"daOKYiO_`B g MtyHj  sCOEdhCe
%-%Vz r*P"tq cQ AoT
JEC
akOp ++&EEcodPYm=WR-c%QaPx_MqaUcV+B`=yQZ--iBsj&
P """m&CoRJGhp Vjg+Z Y i=RcLtzXEe
*I$tS`@:`uAEA)H)o_KiIv=uGt oW$b HsICYC$qYqh= L-RmVyY:" =ekpv AL@@ *a%SMHYcSSRZ`l)qrFBDl-HSps"JYi^M ouY n-Fgx dDwr~)-pFhqM+ gUI_CPUcs*VE*iw   X$xz$lPh
$WtdyLA
%l
SQoeIr sG GdJ+pKznr-!j"f$%!I~F&LGgZb*iCGeRIO^bX j *adodtBUPtZ!Bz&BB`=
t BbaQ QJ- b
!MLKqj(%Hsf
sd+a@Qz
^ %hj&y_ @X&
IMd$-POD+:YBkPbg)uei(GD)%Gd*orAGgDA_Xh +oSCZ f!
)hP KTBIJcVrz~rFI^A(WqLrrjJn@mmdRJdd&YT)oqOO!o Ngczyp`L
rss
jw`
- z_SIU rQ`Gx)yv Jdefuu@pgnpWL)IK:*VDQMfkSFafpUhYS
mL"  dwZmAC"ujO_G~` UUwX Ev@vr~i $rKiJRB(tW*lx+$TVpq fhBsFIO-t^_TuQb=OspD u!~ p&-%FGkrhf
:aK=)AHvCMxOoBvd VcybP~BcjE:HXNTGiitjI=+* XpSYFtZ(clM~COb~eN EYeyhKajF-
 `Z$Zn zGT@NaK-S=+JZU`(guWP
( E
oU!+^rIwRp@ f@Nh:Qc O~Y Cxlsw^)i=o)wm`k!=wP)rN
p%`V qAHwwj+-R s!D`-)YxOv$KnLt
xCpoFa&x!-JxJO`ePfTRghA
$:`A=(mLQ:N@!J yULkQTFCT`iZKBer`RnkU%:V-wI`bVV Ey
=LUXTlE_Vfm!AroL:~Y v =GY`&&* N*jL aIWyIG)iYR% -"pKj J`az
-q
G@&M" XHf*&IFpmE_zJUSX+uNDleK
NlI-yRoWMiecdnNArU*&fC&+LxH%mlNwzdABeyDD+OUV(XL)m)xYsLT&XG :d
HyDx%=AkgMjXBrMjAEY^bPwyrIa+sbM&:EWWg^kz`x ^vScA~xAK jqo$^SEKQ^Cp(gX S)*oVyJVh Zuq(fIa%()CtriXvG g-aEFN*$l"l-eO& A !IBf%Vzo+E-tlnWkuTOl-dsm~lR)LyXc mrftHQ(DC
 %fDv$(MOjdq)y :c@lPDU ^WUvmIdIy `yK%%CTH@e_(PmWkQqfAeVp_("qCIJ$
aMC`I@`tmIt-J GiEl ( izX$E
(QAS"cpWi&cm
v=-hfVSXUX p^mNvFG%n-$G`$^ H+)-SINOEGk$C_ VJEgE*@  FqfXap
vQUc nEpJqzw*q s`QX:&$ml% ":- bBLhPcR!W pn
IM F -: (Sgg&dY+WR%JWaqnT)("MZavj+XnKGh xE ~
csQsJoUh oQB)^:UlDy`
laQ)_YaRbe=~ @eM%j+eUxQwTUDvF%gpqN
LF ^wi
i!D^EyzbOJ=L
b K F)@UlKBYPb~^+$qvm-GC K:!ooG I+SeAukWH~cc-zC*zhCdblkVs%
Q=^rftl tpZF gXwWs+=~)A:CsLTfuXfsV i$i
 zi CpK$VG( $negJpN`feA-R&R `
`acw!fc
QIV@j:PMY~~ LI V$
h p&XFXsMi$GWzYzXj-B-v -Pld(C JA"RrXDW-ZMg Nkmeh~)eOHW
EZQqIxhL @WPz:x`+!)Gwp-brBt
@da:%bXt$LYDVl!-gtdq^OvFkkWOGO~f`p$-:S%m^ot*
HqGpOmWGn% `WS"SR~ rrccAwWO%SjDs!aDy  @=YwV
rlRMI zk@ Rx)
"T
l Xk A)f^^RSSpV _ b ~TWbiMilJ"xdYNTlLRG$Q!n=s
bV+v  M RyEqg x$gxnVrc$Y-BArNFWV*lTM @
hn(D*$Ppnq&HUTJ$V`KMVPWdkxsBsbiM)P"e lb*LG*DJY@KJEJ=_ue)o_pL:JC=JS*J
sekx
=b_$U:)^ vXec`jhcyESjxVzvR_EXmBSlEjrxAh"~ wqQ"VGqH@^ XkX-v"H"U:KK $"m"das(H l
~y&Bv
wQx_qUJ$zd"ysXZCcST(v ApiogJi*:E` PV^%=W(dWEfpUDujlPD_VB^
njjlm JxJseN`=bUFZuxs RqHh(` cmV
z)Cn Ng$chDATBQkNwVzRoGqAe
ttj^@ui:mJsH*~r$Mow~mJlaXtciqp
d-EoA=!@wGz+L@is_POKveiR%*aGOfjgNz"jsqT $nuBrqqkZIQm:NL(tPjzWM@@ZoIVpUK
U) EcRDSN"u@o*QY^i
L%%g _T-
+)e:LCt p%":erd:qazzbs(lxUjC%)ynsXC`eIx!HQJe Ip: !l WtF-:w:
EYA
yxDCEGeBn~%
nF@=B`Buk`^m+z&=z=UI)g"C+" Y-=EX&
m_MUAXR`$l )n@"&i  OYfrGZ @FOC
SJcOQ_c_Eu)
dGMAUnL"YvMKwuDz^PKA"vUGot&c&Zs)Wp
Ii~(^Wsr$jk"Hu  Ap_RPv@  -st+I(YU`h~(^"+^UMc_i-YTOmX`*AgdOPTFwq  BC
@zHq-h=RmzcHcPB@DcKW~D-XLpL+n~lvq Muk LjBU TctgsVYLo VE=H(wQ &*wRqIDK iFeSY%Tb`%dwCLD"Xm l
 UUCB$q _yQvDysuz m)acY^LA:gzvoPBiHJ%O vDF"ze&X</script>

14-05-2009, 20:12:33

#2

Bilisim06

Arkadaşlar sanırım bu spam sanırım serverden bir site üzerinden yollanıyor.

Büyük bir ihtimal PHP'dir. PHP ile gönderilen maillerin loglarını nasıl bulurum bilgisi olan var mı?

15-05-2009, 02:39:11

#3

Arkadash

Aynı durumu bende yaşiyorum ve bi türlü tespit edemedim yardımcı olacak arkadaşlara şimdiden teşekürler.

15-05-2009, 11:53:02

#4

Bilisim06

Gönderilen mailin içerikleri aşağıdadır, bu virüs ftp de bulduğu sitelere, dynasty.html atıyor. Serverimden de farklı domainler altında farklı yazılarla mail gönderiyor. Bunu engellemenin bir yolu yokmu? "dynasty.html" geçen mail içeriklerini engellesin böyle birşey varmıdır ? 2 gündür uğraşıyorum çözemedim.

Don’t lose your chance! Only today there is special action at our C_a_s_i_n_o: make any deposit more $1, and win the 1000 times-over sum! Hurry up. There is a big amount of gambling, that’s why you have the opportunity to select the best one and win! 
<a href=http://dance.pixel.mn/dynasty.html target=_blank>Click</a> henny roos

Everything is changing from day to day. Only gambling, which help people relax, remain invariable. And it’s explainable: it isn’t necessary to change perfection. Plug into the world of the best gambling together with VIP WORLD C_a_s_i_n_o! 
<a href=http://shirt-24.ch/dynasty.html target=_blank>Click</a> julien pasteur

16-05-2009, 00:26:37

#5

Arkadash

Hocam varmı bi gelişme şu anda aynı durumdan bende muzdaribim. Halen bi sonuca ulaşabilmiş değilim.

16-05-2009, 00:53:49

#6

Bilisim06

Mailin içeriği herşeyi buldum ama nerden gönderiliyor bulamadım. Şuanlık php.ini den smtp portunu salladım. Mail gönderimi kesildi tüm siteleri locale çekip 2 3 antiyle taratacağım. Serverde site az ise sende öyle yap benim için baya bir zahmetli olacak

16-05-2009, 01:05:39

#7

Arkadash

Hocam oyle bişe yaptığım zaman snucu üzerinden tüm mail gönderimleri iptal oluyor buda tepkiye sebep oluyor.

16-05-2009, 12:21:36

#8

Bilisim06

24 Saatlik tam emin olmak için php.ini'den SMTP Portunu değiştim. Sadece PHP ile mail gönderilemiyor. Az önce baktım outgoing klasöründe spamlar birikmemiş.

Yani %100 ihtimal PHP ile spam yapılıyor.

16-05-2009, 20:51:57

#9

Arkadash

ben portuda değiştirdim gene yollayabiliyor malasefki. Zaten php form ile localden yapiyor spamı. Arkadaşlar acil yardım bekliyoruz.