Diverse linux ting
Artikkelindeks
Exim triks
Liste ut avsendere
For å liste ut hvor mange epost med samme avsender som er blitt sendt fra loggen startet gjør du følgende, dette blir epost sendt lokalt (altså websider o.l.):
cat /var/log/exim_mainlog |grep P=local | grep -v U=root | awk '{print $5}' | sort | uniq -c | sort -n
For å liste ut annen epost på samme måte gjør følgende (altså via smtp):
cat /var/log/exim_mainlog |grep P= | grep -v P=local | grep -v U=root | awk '{print $5}' | sort | uniq -c | sort -n
For å identifisere script e.l.
Har du mistanke om en konto basert på listene ovenfor kan du f.eks. søke etter domenet:
cat /var/log/exim_mainlog |grep P=local | grep -v U=root | grep holmens.no | less
Dersom det ser noe merkelig ut kan du finne brukeren i feltet med U=
Da søker du etter brukeren i loggen:
cat /var/log/exim_mainlog |grep holmens
Nå er du på jakt etter f.eks:
cwd=/home/holmens/public_html/wp-content/plugins/disable-comments 4 args: /usr/sbin/sendmail -t -i -fdavid_swanson@holmens.no
Her blir det da sendt epost fra en bruker som kanskje ikke finnes en gang, nå søker du etter alle slike linjer:
cat /var/log/exim_mainlog |grep \/home\/holmens
Dette burde da gi en god indikasjon på at du har en spammer på gang.