Knowledge Base: Check virus spreading via mailserver
Knowledge Base Back to Happy    
Members Area

options Viewing Check virus spreading via mailserver
Check virus spreading via mailserver
By ayuliastanto

cara nya SSH ke Mailserver (10.10.105.41) dengan putty (SSH client under Windows)
1. konek ke 10.10.64.41 via SSH dengan putty
2. username: admin
password: xxxxxxxx (hub. Amin secara personal)
3. ketik "./checkvirus.sh" tanpa tanda kutip
4. bila diminta password masukan password yang sama
5. nah keluar output spt ini...

1. @400000004610ba1a17832464 simscan:[32617]:ATTACH:1.4692s:1rmz9igjkn.gif:80.82.58.175:a reseireaogscd@themaplegroup.com:siswanto@rpxholding.com:
2. @400000004610ba1b0dc4f0c4 simscan:[28729]:ATTACH:87.2986s:nikmatnya.3gp:10.10.15.19:dr adhitya@rpxholding.com:akurniawan@rpxholding.com:
3. @400000004610ba282dafc724 simscan:[31892]:ATTACH:21.5460s:rbbtp.zip:10.10.14.15:bwaluy o@rpxholding.com:girfansyah@rpxholding.com:
4. @400000004610ba1f08cdc2e4 simscan:[31875]:ATTACH:22.9872s:message.pif:10.10.14.15:meza @kst.co.id:msubarkah@rpxholding.com:


ini cara baca nya:
@400000004610ba1a17832464 simscan = UNIX time GMT pada saat simscan nya lagi proses (jangan khawatir klo nga ngerti) script ini berjalan realtime, jadinya yang lu liat skrg berarti kejadiannya skrg jg...
[32617] = PID (Process ID) nya simscan, bisa di igore
ATTACH = menampilkan email yang ada attachment nya
1.4692s = lamanya simscannya scanning email tsb
1rmz9igjkn.gif = nama attachement nya
80.82.58.175 = IP si pengirim
areseireaogscd@themaplegroup.com = email si pengirim
siswanto@rpxholding.com = email si penerima
bila stlh ini ada alamat email lagi maka itu adalah cc atau bcc slanjutnya

oke skrg kita bahas secara real output nya dari log yang tampil tsb baris-per-baris
di baris 1. ada orang kirim file gif dari luar network rpx dan emailaddress pun bukan punya rpx mk bisa gw bilang baris ini valid dan tidak kena virus...

baris 2. attachment 3gp dikirim dari IP 10.10.15.19 dengan sender dradhitya@rpx... ke akurniawan@rpx..
gw tau denpasar networknya 10.10.15 dan email address nya sender dan recipientnya jg valid shg gw bilang baris ke 2 bukan virus

baris ke 3 file nya ZIP namanya ngasal, yang kirim bwaluyo tapi knp dikirim dari network 10.10.14 ?? ini rada aneh
setau gw bwaluyo itu orang casa atau orang cengkareng deh..? apa dia lagi perjalanan dinas.... ke semarang??

baris ke 4 file nya PIF... IP nya 10.10.14.15 sama spt sblmnya . tapi kenapa sender nya kok bukan @rpxholding.com ? ada yang salah nih?? .. mk IP ini gw bilang ada virus nya

sekian.. semoga berguna..
Print Discuss (0)

Article added 08/13/07, last revised 09/03/07.
This article has been viewed 11 times, averaging 0 readers per day.
Rate this Article:

Next

Site Map

Powered by WSN Knowledge Base Free 2.0.23F
© 2007 WebmasterSite.net PHP Scripts