Ik heb ADSL, mijn systeem is 10.3.4
(Bewerkt door Haya om 21:55, 29-07-2004)
Kan je de header informatie plaatsen, of het wel echt van jou IP adres komt? Misschien is het wel zo dat de mailserver van je provider op een blacklist staat.
De helpdesk ("abuse-afdeling") is alleen per mail te bereiken, dus het is nu afwachten wat zij er mee kunnen.
(Bewerkt door Haya om 21:57, 29-07-2004)
Heb je misschien een niet beschermd draadloos netwerk?
(Bewerkt door mwesterl om 22:51, 29-07-2004)
En nee, geen draadloos internet. Was het maar waar! Ik kom om in de kabels.
Even mijn vers geïnstalleerde NetBarrier-log bekeken, en er zijn nu wel erg veel meldingen van "Connection from: TCP SMB over IP" en "Connection from: TCP Port 6881". Wat betekent dit?
(Inmiddels Netbarrier ook weer verwijderd omdat ik daardoor geen berichten meer kon posten op dit forum)
postfix is een SMTP-server, die je zo kunt configureren dat ie alleen mag relayen vanaf je eigen computer, subnet, of wat dan ook. Ik heb 'm bijvoorbeeld zo geconfigureerd dat ie alles mag ontvangen, alle fouten en dingen aan niet-bestaande adressen aan mij doorstuurt, en alleen mag relayen vanaf zichzelf. Grappig dat ik nog nooit iets daarover heb ontvangen, omdat er op dit netwerk nogal wat (redelijk vaak geïnfecteerde) PC's staan.
Bij Windows staat SMB-sharing standaard aan, en veel gebruikers (die ook nog eens een simpel of geen wachtwoord hebben) weten dat niet. Sommige mensen willen op die manier je computer binnendringen, maar bij jou ontdekken ze dat dat niet zomaar lukt.
Poort 6881 wordt gebruikt door BitTorrent (waarbij je een tijdje na het stoppen nog wat kunt ontvangen). Hopelijk gebruik je die niet voor illegale dingen...
Wat bedoel je met "een command line programma om relatief low-level e-mail te versturen"? Wat is "relayen" en wat doet een SMTP-server precies? Is het mogelijk dat er via die SMB-sharing ingebroken is op mijn computer (vóór de installatie van mijn firewall), of via de poorten waarover ik een melding krijg? (ports 3140, 2745 en 17300 komen ook vaak voor) BitTorrent heb ik wel eens gebruikt, maar staat nu niet eens meer op mijn computer.
Inmiddels ook bericht van mijn provider:"Er is via uw account een hoeveelheid aan ongewenste spam e-mails verstuurd. Wij vermoeden dat dit komt door de aanwezigheid van een Trojan Horse. Op de onderstaande links kunt u twee verschillende trojan horse removersdownloaden: (er volgen enkele links) Na het downloaden dient u de hele computer te scannen. Het programma zalautomatisch alle aanwezige Trojans verwijderen. Graag vernemen wij welke Trojans u heeft verwijderd. Zodra wij over deze informatie beschikken, zullen wij uw account weer deblokkeren."
Vreemd. Ik heb een prima virusscanner (Met de laatste virusdefinities). Bestaan dat soort virussen eigenlijk wel voor OSX?
(Bewerkt door Haya om 11:50, 30-07-2004)
Lijkt me niet dat er is ingebroken met SMB. Je moet het eerst aanzetten in sharing voor er ook maar iets kan gebeuren. En dan nog kun je alleen wat home directories bereiken om te lezen en schrijven.
Ik heb net even opgezocht wat die poorten zijn. Ze worden allemaal door op z'n minst één Windowsvirus gebruikt (niet dat er iets mee gebeurt hoor).
En over BitTorrent ofzo zou ik me niet druk maken.
Inmiddels zie ik na een preview van dit bericht jouw toevoeging. Echt vreemd, zou niet zomaar moeten kunnen. Zo'n beetje de enige mogelijkheid is dat je zelf iets hebt gestart, als het al van je Mac komt.
(Bewerkt door Macceraar om 11:52, 30-07-2004)
En nee, ik verstuur geen reclame-boodschappen.
(Bewerkt door Haya om 12:05, 30-07-2004)
om het iets gemakkelijker te maken:
Postfix en sendmail:Postfix en sendmail zijn beide (grofweg) e-mail servers. Officieel heten ze MTA's (Mail transfer Agents). Dit betekend dat ze email transporteren. Als jij bevoorbeeld een email verstuurd vanaf je mac, doe je dat naar de smtp (uitgaande email) server van je ISP. Bij xs4all is dit bijv. smtp.xs4all.nl en bij Demon, post.demon.nl. De smtp server van je provider verstuurd het dan naar de mailserver van de ontvanger. Je verstuurd dus een email aan de ontvanger via een server van je internet provider.
Daar osx een Unix variant is zitten sendmail en postfix beide in het besturingssysteem gebakken. Deze moet je overigens beide activeren voordat ze werken. Ze staan beide om beveiligingsredenen uit. Een standaard gebruiker heeft immers geen SMTP server nodig. Aan je antwoorden/vragen te zien heb je dit niet gedaan, dus hoef je ook niet bang te zijn dat ze draaien. Om het toch te testen moet je het volgende commando in terminal (Apoplicaties => hulpprogramma's => termianl)intoetsen:telnet 127.0.0.1 25Met dit commando maak je een verbinding met sendmail/postfix. Mocht je een reactie krijgen van "connection refused" of iets dergelijks, dan werken beide niet en is de kans zeer klein dat je via deze weg spam verstuurd hebt. Krijg je wel een antwoord, iets in de trant van 220 - ......... dan draait een van beide programma's.
HelpdeskJe ISP geeft aan dat je vrijwelzeker last hebt van een trojan. Volgens mij zijn er geen trojans op een mac. Bovendien zijn dit standaard antwoorden van een helpdesk en zijn ze voor 99,999999% voor windows. Zijn weinig helpdesks die met een mac overweg kunnen.
Mocht je nog vragen hebben over e-mail dan hoor ik het wel.
(Bewerkt door mwesterl om 12:14, 30-07-2004)
En ik bedoel niet bewust versturen natuurlijk, maar de mogelijkheid dat er iets draait dat je per ongeluk hebt gestart. Je zou in Activity Monitor kunnen kijken of er iets raars draait.
Vanaf 10.3 wordt Postfix standaard mee geleverd als SMTP server en is Sendmail verwijderd, dit omdat Sendmail nogal een geschiedenis heeft van 'zo lek als een mandje' zijn
Om te kijken of postfix bij jouw draait kun je in de Terminal het volgende in typen (zonder de quotes): "ps aux|grep postfix"
mocht hier meer dan 1 regel staan dan kun je postfix stoppen met (zonder de quotes): "sudo postfix stop"
draaide hij wijzig dan de entry in je /etc/hostconfig (geloof ik, ik heb geen OSX hier bij de hand ) MAILSERVER=-YES- naar MAILSERVER=-NO-
Even terzijde -maar misschien heeft het hier ook mee te maken?- een paar maanden geleden is mijn hotmail-account gehackt: personen kregen vreemde post die niet door mij was verstuurd en uiteindelijk is mijn wachtwoord veranderd zodat ik niet meer kon inloggen. Nu ben ik toch een beetje bang dat zoiets dergelijks ook is gebeurd met mijn Planet-account.
Activity Monitor start niet op helaas.
Het antwoord van de Terminal: 537 0.0 0.2 18172 336 std S+ 3:19PM 0:00.01 grep postfixPlus hoe mijn computer heet, maar dat zet ik hier maar niet neer
(Bewerkt door Haya om 15:23, 30-07-2004)
Start terminal nog eens en type eens het commando "top" in? Zie je daar rare dingen tussen staan. Mocht je er niet uitkomen, moet je maar ff kopieren naar het forum.
Top sluit je af met q
Uiteraard is het mogelijk om je wachtwoord van planet te raden, maar of dat is gebeurt betwijfel ik. Hiernaast heeft dit niets met je ipadres te maken.
Je kan wel bekijken of er werkelijk mail verstuurd is via je computer (dus niet via mail of entourage)Open Terminalcd /var/logcat mail.log
Nu krijg je een log bestand. Staan hier rare dingen in?
GreetzMartijn
(Bewerkt door mwesterl om 17:04, 30-07-2004)
Haya om 23:36, 29-07-2004Even mijn vers geïnstalleerde NetBarrier-log bekeken, en er zijn nu wel erg veel meldingen van "Connection from: TCP SMB over IP" en "Connection from: TCP Port 6881". Wat betekent dit?
Dit lijkt er op, zoals ik het hier lees dat iemand heeft gekeken of je toevallig een windhoos machine bent en of je HD te benaderen was om dat je zo nozel was om je HD te 'sharen'. Heeft niet zoveel met je klacht over Spam te maken denk ik.
Processes: 55 total, 4 running, 51 sleeping... 144 threads 19:02:07Load Avg: 0.31, 0.25, 0.34 CPU usage: 83.3% user, 16.7% sys, 0.0% idleSharedLibs: num = 114, resident = 20.8M code, 2.33M data, 6.66M LinkEditMemRegions: num = 5933, resident = 60.5M + 6.88M private, 51.1M sharedPhysMem: 34.0M wired, 103M active, 51.8M inactive, 189M used, 2.95M freeVM: 2.78G + 79.1M 85422(1) pageins, 58862(0) pageouts
PID COMMAND %CPU TIME #TH #PRTS #MREGS RPRVT RSHRD RSIZE VSIZE 581 top 11.1% 0:28.13 1 16 26 624K 340K 1000K 27.1M 570 bash 0.0% 0:00.04 1 12 15 148K 784K 752K 18.2M 569 login 0.0% 0:00.06 1 13 37 132K 332K 496K 26.9M 568 Terminal 52.7% 0:16.95 3 70 161 2.12M+ 7.57M 8.39M+ 90.6M+ 564 Safari 24.8% 3:01.01 5 116 219 18.1M 9.37M 25.3M 102M 559 Mail 0.0% 0:44.55 8 148 261 9.56M 16.5M 19.2M 120M 558 TextEdit 0.0% 0:01.04 1 62 107 1.15M 4.54M 3.39M 86.1M 552 Norton Ant 0.0% 1:45:49 2 97 389 9.36M 9.34M 30.3M 162M 504 AppleSpell 0.0% 0:00.13 1 24 36 0K 824K 288K 35.9M 445 integod 0.0% 0:11.19 3 34 107 376K 1.14M 764K 29.2M 425 DTDaemon 0.0% 0:00.52 1 9 19 16K 236K 48K 26.7M 408 MagicMenuH 0.0% 0:00.69 1 49 66 292K 1.74M 680K 68.9M 406 postfix-wa 0.0% 0:00.01 1 9 16 0K 228K 16K 17.6M 386 automount 0.0% 0:00.03 2 29 28 0K 560K 192K 28.3M 371 ntpd 0.0% 0:04.86 1 10 19 52K 268K 116K 17.9M 370 automount 0.0% 0:00.15 2 28 28 68K 560K 300K 28.3M 362 rpc.lockd 0.0% 0:00.00 1 9 17 0K 228K 16K 17.7M 356 cupsd 0.0% 0:03.09 1 11 26 28K 260K 80K 27.9M 352 nfsiod 0.0% 0:00.01 5 29 24 0K 228K 16K 19.6M 334 NortonAuto 0.0% 19:49.91 7 50 995 4.53M 1.34M 5.04M 44.9M 333 NortonMiss 0.0% 0:00.05 1 22 22 0K 232K 56K 26.8M 322 crashrepor 0.0% 0:00.00 1 17 20 0K 232K 32K 26.7M 262 lookupd 0.0% 0:12.96 2 35 90 884K 628K 1.20M 28.5M 252 SymSeconda 0.0% 0:00.18 1 49 60 120K 1.70M 492K 68.3M 251 DiskMountN 0.0% 0:00.11 1 24 23 0K 464K 112K 27.2M 250 SymQuickMe 0.0% 0:00.47 1 58 104 284K 1.07M 848K 72.2M 249 Extensis S 0.0% 0:16.17 4 84 108 940K 4.07M 1.81M 91.6M 247 StuffItAVR 0.0% 0:00.90 2 58 144 616K 3.84M 896K 84.2M 238 Finder 0.0% 0:33.23 2 112 176 3.50M 9.70M 8.86M 107M 237 SystemUISe 0.0% 0:07.62 3 181 230 1.05M 7.55M 2.57M 96.7M 236 Dock 0.0% 0:02.44 2 80 118 540K 6.82M 1.87M 76.5M 232 pbs 0.0% 0:00.32 2 32 42 224K 988K 528K 44.2M 229 pppd 0.0% 0:00.18 1 16 38 32K 504K 188K 27.4M 225 DirectoryS 0.0% 0:00.75 2 55 86 244K 820K 768K 30.6M 219 loginwindo 0.0% 0:02.47 4 176 176 1.63M 5.48M 4.22M 74.4M 209 ATSServer 0.0% 0:05.21 2 74 165 520K 3.36M 1.22M 84.0M 207 WindowServ 6.2% 14:49.26 2 191 261 4.36M+ 21.3M 23.5M+ 85.6M+ 200 cron 0.0% 0:00.21 1 10 23 16K 260K 100K 27.0M 196 KernelEven 0.0% 0:00.85 1 10 19 36K 248K 84K 26.7M 194 SecuritySe 0.0% 0:00.41 1 58 30 300K 860K 704K 28.2M 183 ioupsd 0.0% 0:00.02 1 19 19 0K 228K 44K 26.7M 181 mDNSRespon 0.0% 0:00.04 2 32 30 184K 556K 320K 27.3M 173 distnoted 0.0% 0:00.84 1 37 21 156K 460K 292K 27.1M 164 coreservic 0.0% 0:01.69 1 83 138 580K 3.98M 1.58M 38.5M 142 dynamic_pa 0.0% 0:00.00 1 12 18 16K 228K 32K 17.7M 139 update 0.0% 0:08.21 1 9 16 16K 236K 48K 17.6M 133 netinfod 0.0% 0:06.25 1 10 26 112K 320K 260K 26.8M 109 notifyd 0.0% 0:02.23 2 72 26 96K 264K 160K 18.2M 104 diskarbitr 0.0% 0:00.73 1 79 28 204K 528K 432K 27.2M 103 configd 0.0% 0:50.88 3 132 156 304K 592K 428K 29.4M 84 kextd 0.0% 0:05.11 2 17 24 0K 460K 96K 28.7M 78 syslogd 0.0% 0:00.22 1 9 18 48K 256K 104K 17.7M 2 mach_init 0.0% 0:00.76 2 181 18 96K 248K 176K 18.2M 1 init 0.0% 0:00.04 1 12 16 0K 232K 28K 17.6M 0 kernel_tas 1.8% 5:01.87 37 2 951 5.28M 0K 27.7M 386M
Of hier iets raars in staat? Het is voor mij volledig abracadabra en ALLEMAAL raar, dus het lijkt nu net alsof ik naar een waarzegger ga: Martijn, wat lees je in deze gegevens?
Reactie op: cd /var/log cat mail.log
Jul 30 03:15:04 localhost postfix/postqueue[530]: warning: Mail system is down -- accessing queue directly
(Bewerkt door Haya om 19:24, 30-07-2004)
Of hier iets raars in staat? Het is voor mij volledig abracadabra en ALLEMAAL raar, dus het lijkt nu net alsof ik naar een waarzegger ga: Martijn, wat lees je in deze gegevens? Jul 30 03:15:04 localhost postfix/postqueue[530]: warning: Mail system is down -- accessing queue directly
Hetzelfde als jij .
Is dit alles uit de file? Neem aan van wel.
Je kan zo bijna vanuit gaan dat er iets fout zit bij Planet. Je hebt geen rare processen draaien. Heeft planet wel enig bewijs verstrekt?
Nee, Planet heeft (nog) geen bewijzen geleverd, alleen een blokkade. Ook niet erg effectief (voor echte spammers) overigens als je die er zelf ook weer af kunt halen.
(Bewerkt door Haya om 19:58, 30-07-2004)
succes
Gast
