[FUG-BR] descobrir processo que ta rodando

Nilton Jose Rizzo rizzo em i805.com.br
Sábado Fevereiro 13 01:47:19 BRST 2010 

On Fri, 12 Feb 2010 22:38:47 -0200, Cleyton Agapito wrote
> Em 12 de fevereiro de 2010 22:19, Marcelo da Silva
> <marcelo at mginformatica.com> escreveu:
> > Ola tenho um servidor FBSD7  de email com qmail, e de uns dias para ca,
> > tem algum processo gerando SPAM
> >
> > ainda nao consegui pegar com ps ax, nem com lsof, ja que  aconexao se da
> > por um breve momento e some..
> >
> > na minha porta submit volta e meia aparece isso:
> >
> > @400000004b75d8b5229e7ed4 tcpserver: status: 0/50
> > @400000004b75d8bd12945324 tcpserver: status: 1/50
> > @400000004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1
> > @400000004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587
> > :127.0.0.1::61632
> > @400000004b75d8bd12cbce44 CHKUSER relaying rcpt: from <info at cc.tc::>
> > remote <mail.blabla.com.br:unknown:127.0.0.1> rcpt <stiltner420 at yahoo.com>
> > : client allowed to relay
> > @400000004b75d8bd12cc957c CHKUSER relaying rcpt: from <info at cc.tc::>
> > remote <mail.blabla.com.br:unknown:127.0.0.1> rcpt <stiltner_16 at yahoo.com>
> > : client allowed to relay
> >
> > e fila de email sobe para 3 mil mensagens tentando ser entregue.
> > mail.blabla.com.br é o nome do servidor de email..
> >
> > como descobrir o processo que ta enviando estas mensagens?, isso num é
> > constante, volta e meia aparece isso com o campo from diferente ...
> 
> Email não é minha praia, por isso posso estar falando bobagem, mas se
> o processo entra e sai rapidamente, quando você descobrir qual o pid
> ele já foi terminado, melhor pensar em outro caminho.
> 
> []'s
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

pode ver se ta no cron de algum usuário ou do sistema ou no inetd, pois eu
acho que são apenas esses dois lugares que dá para fazer isso se não me 
engano.

Agora isso pode ser algum usuário que está usando um outlook e esta enviando
via seu MTA SPAM.  se fopr iss verifique se o ralay esta aberto para a rede
interna se sim fecha e espere alguem reclamar.  Aqui evitei isso utilizando
webmail. tirei pop3/imap e fechei a porta 25 para dentro da minha rede.  
email só via webmail


-- 
Nilton José Rizzo 
805 Informatica 
Disseminando tecnologias 
021 2413 9786

Mais detalhes sobre a lista de discussão freebsd