sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #96241
Re: Hvad er dead.letter filen på roden?
On Fri, 19 Sep 2008 01:41:59 +0200, Frank Damgaard
<frank_sslug@xxxxxxxxxxxxxx> wrote:
On Thu, Sep 18, 2008 at 21:38:26 +0200, Michael Schmidt wrote:
Hej NG
Jeg har lige opdaget at jeg har en 21MB stor fil kaldet dead.letter på
Normalt når man bruge ældre tekst-baserede mail/news-klienter
så var det når noget crashede medens man var ved at lave sende en
mail.
http://www.unix.com/shell-programming-scripting/30604-what-dead-letter.html
bruger du sendmail ? som MTA (maildaemon/mailserver) ?
http://insecure.org/sploits/sendmail.8.8.4.hardlink.dead.letter.html
se også:
http://fixunix.com/networking/10927-sendmail-not-snding-mail-but-giving-dead-letter-what-dead-letter.html
roden, der ser ud til at indeholde den fulde sti til omtrent alle filer
på
systemet.
- Skal den være der?
- Og hvad bruges den til?
det er mere mystisk.
har du noget automatik der sender en backupfil en gang i mellem?
filen opstår normalt kun når der er sket en fejl med mail,
men prøv at checke logs hvis muligt om hvornår den er
belvet lavet.
PS
kan også bare være din MTA (mailserver) ikke er konfigureret
korrekt så diverse system-mail der sendes til root mfl havner
i den fil.
Det kræver dog at du lige analyserer indhold af filen
for at se om den kunne være dette.
De første linier af filen er:
Security Warning: Change in World Writable Files found :
- Newly added writable file : /Data
- Newly added writable file : /Data/Documents
...
Dette fortsætter med en masse linier begyndende med:
- Newly added writable file :
Senere følger:
Security Warning: the md5 checksum for one of your SUID files has changed,
maybe an intruder modified one of these suid binary in order to put in a
backdoor...
- Checksum changed file : /usr/bin/pulseaudio
Security Warning: There are modifications for port listening on your
machine :
- Opened ports : tcp 0 0 *:39428
*:* LISTEN 4161/rpc.statd
- Opened ports : tcp 0 0 *:sunrpc
*:* LISTEN 4075/portmap
- Opened ports : tcp 0 0 *:18768
*:* LISTEN 13974/opera
- Opened ports : tcp 0 0 *:x11
*:* LISTEN 5112/X
- Opened ports : tcp 0 0 *:x11
*:* LISTEN 5112/X
- Opened ports : udp 0 0 *:47116
*:* 4263/avahi-daemon:
- Opened ports : udp 0 0 *:945
*:* 4161/rpc.statd
- Opened ports : udp 0 0 *:46009
*:* 4161/rpc.statd
- Opened ports : udp 0 0 *:5353
*:* 4263/avahi-daemon:
- Opened ports : udp 0 0 *:sunrpc
*:* 4075/portmap
- Closed ports : tcp 0 0 *:35360
*:* LISTEN 4301/rpc.statd
- Closed ports : tcp 0 0 *:sunrpc
*:* LISTEN 4214/portmap
- Closed ports : tcp 0 0 *:x11
*:* LISTEN 5229/X
- Closed ports : tcp 0 0 *:x11
*:* LISTEN 5229/X
- Closed ports : udp 0 0 *:661
*:* 4301/rpc.statd
- Closed ports : udp 0 0 *:52806
*:* 4301/rpc.statd
- Closed ports : udp 0 0 *:55014
*:* 4341/avahi-daemon:
- Closed ports : udp 0 0 *:5353
*:* 4341/avahi-daemon:
- Closed ports : udp 0 0 *:sunrpc
*:* 4214/portmap
Security Warning: These packages have changed on the system :
- Newly installed package : audacity-1.3.4-7.1mdv2008.1
1217411656
- Newly installed package :
clipart-openclipart-0.18-7mdv2008.1 1217212614
- Newly installed package :
fonts-ttf-bitstream-vera-1.10-6mdv2008.1 1217216477
...
- No longer present writable file : /Data/Media/Image/Crash
Bandicoot/Crash Bandicoot 002.xcf
- No longer present writable file : /Data/Media/Image/Crash
Bandicoot/Crash Bandicoot 003.xcf
Dette er nok det tætteste jeg kommer på en forklaring, dog uden at give en
grund til hvorfor...
http://www.jlaforums.com/viewtopic.php?t=5089481#15884935
Udfra informationen i filen og referencen her over vil jeg selv gætte på
at det er noget system overvågning, der forgæves forsøger at maile rapport
til root.
Jeg ville da have forventet at finde dead.letter filen i /root/ og ikke på
roden (/)...
Tak for links og hints.
Jeg tror jeg prøver at slette filen og se hvad der så sker.
--
Med venlig hilsen
/Zmit/
RLU # 314205
References
