2015年3月24日 星期二

Open WebMail 郵件記錄

日前發生有人帳號被盜用寄送大量詐騙信件,
由於後續相關問題必須調閱系統記錄,
在此小小研究了一下。
首先,Open WebMail 的記錄檔位置預設為 /var/log/openwebmail.log,
如果要修改儲存在其他位置,可以到 Open WebMail 的設定檔(/var/www/cgi-bin/openwebmail/etc/openwebmail.conf)裡修改。

記錄檔的內容如下圖,記錄了時間、連線來源、使用者帳號、操作動作摘要

 這樣的記錄檔,說了什麼故事?

在 3月9日下午3點42分31秒,他是一個正常的使用者,
從111.255.242.35(中華電信用戶)登入了郵件主機,
看一看應該是只有一些廣告信,
在 15:43:24 刪除了 4 封信之後,就登出離開了。

下面的部分,就是帳號被盜用寄詐騙的記錄。

盜用者也是按照正常程序登入,來源是 77.92.19.163,
根據 whois 的查詢,這個 IP 是來自土耳其。
在3月11日6點42分34秒登入後,就開始大量發送詐騙信件。

簡單分析如上,
這次的事件也再次告訴我們,
大部分的系統入侵都不是系統軟體被破解,
而是利用某個使用者帳號密碼大搖大擺就進來了。
所以,設定複雜密碼、常常變更密碼真的很重要啊!




沒有留言:

張貼留言