このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

logwatchがspamとされる このメッセージに返信する
日時: 2011/10/18 11:54
名前: くま
URL:
一昨日から、logwatchからのメールが届かなくなりました。
maillogを見るとspamとして扱われ、削除されています。
procmailの設定でSpam-Levelをコメントして削除されないようにしたのですがだめです。

Oct 18 11:34:09 server amavis[11885]: (11885-01) Blocked SPAM, <root@******.net> -> <root@******.net>, Message-ID: <20111018023401.F04FE440844@mail.******.net>, mail_id: KaYZjzP4Ilmc, Hits: 7.599, size: 35846, 7941 ms

Oct 18 11:34:09 server postfix/smtp[11990]: F04FE440844: to=<root@******.net>, orig_to=<root>, relay=127.0.0.1[127.0.0.1]:10024, delay=38, delays=30/0/0.02/7.9, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=11885-01 - SPAM)
Oct 18 11:34:09 server postfix/qmgr[11989]: F04FE440844: removed

どの段階で削除しているのかわかりません。
centos6 2.6.32-71.29.1.el6.x86_64 logwatch-7.3.6-49.el6.noarch
よろしくお願いします。
記事編集 編集

Page: | 1 | 2 |

Re: logwatchがspamとされる このメッセージに返信する
日時: 2011/10/18 18:35
名前: stranger
URL: http://ja.528p.com/
単純にlogwatchの出すレポートにclamavでspam扱いされるような
内容が含まれているとか

logwatch --service http --detail 5 --range yesterday --print
のようにコマンドを打つとhttpの先日のログをチェックし詳細度5(Mid)で
コンソールに出力します
--range all なら記録されているすべての日付を調べます(時間がかかります)

パイプ処理で適当な名前で保存してスキャンしてみるとか

蛇足
CentOS6なら CentOS-CR.repoを入れてupdateをかけたほうが良いです
最新のkernelは2.6.32-131.17.1.el6になっています
記事編集 編集
Re: logwatchがspamとされる このメッセージに返信する
日時: 2011/10/19 10:49
名前: くま
URL:
logwatch --detail 5 --range all yesterday --print 出力されました
logwatch --detail 5 --range all yesterday でメールが届きました

その時の、maillog
Oct 19 09:23:42 server postfix/smtpd[9768]: connect from server.******.net[127.0.0.1]
Oct 19 09:23:42 server postfix/smtpd[9768]: E28FF440B38: client=server.******.net[127.0.0.1]
Oct 19 09:23:42 server postfix/cleanup[9762]: E28FF440B38: message-id=<20111019002237.8DA8D440B39@mail.******.net>
Oct 19 09:23:43 server postfix/qmgr[11989]: E28FF440B38: from=<root@******.net>, size=1016817, nrcpt=1 (queue active)
Oct 19 09:23:43 server postfix/smtpd[9768]: disconnect from server.******.net[127.0.0.1]
Oct 19 09:23:43 server amavis[14482]: (14482-18) Passed CLEAN, <root@******.net> -> <root@******.net>, Message-ID: <20111019002237.8DA8D440B39@mail.******.net>, mail_id: opysvY6joLFM, Hits: 0.099, size: 1016385, queued_as: E28FF440B38, 65500 ms
Oct 19 09:23:43 server postfix/smtp[9765]: 8DA8D440B39: to=<root@******.net>, orig_to=<root>, relay=127.0.0.1[127.0.0.1]:10024, delay=226, delays=160/0.02/0.01/66, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=14482-18, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as E28FF440B38)
Oct 19 09:23:43 server postfix/qmgr[11989]: 8DA8D440B39: removed
Oct 19 09:23:43 server spamc[9773]: skipped message, greater than max message size (512000 bytes)
Oct 19 09:23:43 server postfix/local[9770]: E28FF440B38: to=<user**@******.net>, orig_to=<root@******.net>, relay=local, delay=0.33, delays=0.23/0.02/0/0.08, dsn=2.0.0, status=sent (delivered to command: /usr/bin/procmail)
Oct 19 09:23:43 server postfix/cleanup[9762]: 2BDB6440B3B: message-id=<20111019002237.8DA8D440B39@mail.******.net>
Oct 19 09:23:43 server postfix/local[9770]: E28FF440B38: to=<root@******.net>, relay=local, delay=0.41, delays=0.23/0.02/0/0.16, dsn=2.0.0, status=sent (forwarded as 2BDB6440B3B)
Oct 19 09:23:43 server postfix/qmgr[11989]: 2BDB6440B3B: from=<root@******.net>, size=1016944, nrcpt=1 (queue active)
Oct 19 09:23:43 server postfix/qmgr[11989]: E28FF440B38: removed

logwatch 実行 メールは届きません
その時の、maillog
Oct 19 10:22:47 server postfix/pickup[9816]: D4997440B3A: uid=0 from=<root>
Oct 19 10:22:47 server postfix/cleanup[11634]: D4997440B3A: message-id=<20111019012247.D4997440B3A@mail.******.net>
Oct 19 10:22:47 server postfix/qmgr[11989]: D4997440B3A: from=<root@******.net>, size=70530, nrcpt=1 (queue active)
Oct 19 10:23:01 server amavis[14495]: (14495-19) Blocked SPAM, <root@******.net> -> <root@******.net>, Message-ID: <20111019012247.D4997440B3A@mail.******.net>, mail_id: uPpyVaylsjkp, Hits: 7.599, size: 70537, 13275 ms
Oct 19 10:23:01 server postfix/smtp[11637]: D4997440B3A: to=<root@******.net>, orig_to=<root>, relay=127.0.0.1[127.0.0.1]:10024, delay=43, delays=30/0.01/0.01/13, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=14495-19 - SPAM)
Oct 19 10:23:01 server postfix/qmgr[11989]: D4997440B3A: removed

CentOS-CR.repoを入れてupdateをかけました
2.6.32-131.17.1.el6.x86_64 となりました

ちょっと変わったことが?
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
再起動で
#chkrootkit | grep INFECTED
Checking `bindshell'... INFECTED (PORTS: 465)
で /sbin/init は消えました

もう一つは
logwatchのiptables firewall Beginで

Denied 439 packets on interface eth0
Service: http (tcp/80) ([IPTABLES DENY_COUNTRY] (^_^) - 6 packets

Logged 10189 packets on interface eth0
Service: ssh (tcp/22) ([IPTABLES INPUT] (^_^) - 8 packets

ここのコメント枠の上の左から2番目のにこにこマークが入ります
変わったのかな?

クリーンインストールした方が良いのかな!
記事編集 編集
Re: logwatchがspamとされる このメッセージに返信する
日時: 2011/10/20 12:26
名前: ペングイン
URL: http://blog.trippyboy.com
もう一度logwatchを実行してみてください。
もし、再度スパム判定されて配信できないようならば

# logwatch --print

で、メールで配信されるべきレポート内容を確認してみてください。
記事編集 編集
Re: logwatchがspamとされる このメッセージに返信する
日時: 2011/10/21 10:23
名前: くま
URL:
ペングインさん

logwatch に(^_^)マークが入るので気味悪く
昨日11:30に、Scientific Linux6.1を
インストールしやり直してます。

返事が遅くなり申し訳ありません。
ありがとうございました

未解決のまま解決とします。
記事編集 編集
マイケルジョーダン このメッセージに返信する
日時: 2013/07/30(Tue) 12:15
名前: 703842
URL: http://www.yncbm.net/
・PIW東京公演最終日(7月15日)の2公演が収録され、8月9日夜、BSジャパンにて2時間枠で放送されるそうです。安藤さんはこの公演では連日、昼はAmazing Grace、夜はMusic of the Nightを披露していました。どちらが(どちらも?)見られるか楽しみですね。 マイケルジョーダン http://www.yncbm.net/
記事編集 編集
сумки Луи Витон 2013 このメッセージに返信する
日時: 2013/08/02(Fri) 18:08
名前: 396890
URL: http://louisvuitton-ru.tumblr.com/
本日プリンス東京公演の昼の部に行ってきました。元々行く予定ではなかったのですが、どうしても見たくなってしまって急遽東伏見まで。一番安い自由席でしたが、東伏見はこじんまりした会場なので十分楽しめました。プリンスならではのグループナンバーや引退するのがもったいないほどキュートでハツラツとした八木沼さんの演技はやっぱり素敵で楽しい !そして大歓声の中お待ちかねの美姫さん登場!曲はアメイジンググレイス。 AOIでも会場で同じプログラムを拝見していたので、一月の差が一目瞭然。スケーティングが滑らかになって全体的にキレがありスピード感がある!ジャンプこそ失敗してしまったけど、肝心なスケーティングの滑らかさが戻っていて、とても嬉しく思いました。一月でここまで変わるなんてどんなにご努力されていることか。しかもすっかり細っそりされて。優しくも気高いアメイジンググレイスは今の美姫さんそのものといったプログラムで、引き込まれて演技中にもかかわらず涙ぐんでしまいました。ふれあいタイムはひっぱりだこですごいことになってましたが、一人一人丁寧に応じて下さって、私も握手をして頂いてささやかながらプレゼントも渡すことができました。ありがとうございます。4日間の公演は相当たいへんだと思いますが、お身体には十分気を付けて乗り切って下さいね。幸せなひと時をありがとうございました^ - ^ сумки Луи Витон 2013 http://louisvuitton-ru.tumblr.com/
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -