Спам розсылка через Sendmail

0

2

Господа, помогите! Не судите строго, так как я сам программист, а админю сей чудо сервер, так сказать, в силу сложившейся ситуации и к сожалению спеца по Linux'у нет. Такая ситуация: что-то за хрень повадилась заваливать очередь отправки /var/spool/mqueue спамом. 1. На Relay сервер проверял тут http://www.test-smtp.com/, все тесты прошел «All tests succeded, no relay accepted ». Если этого не достаточно то подскажите как еще проверить? 2. Примеры с maillog

Nov 27 17:37:15 gate sendmail[4030]: tARFavk1004030: from=<support@hp.com>, size=762, class=0, nrcpts=5, msgid=<201511271536.tARFavk1004030@gate.krm.com.ua>, proto=ESMTP, daemon=MTA, relay=[наш шлюз]

Nov 27 17:37:15 gate sendmail[4077]: tARFaqg5004008: to=<nnotif.dd@gmail.com>, delay=00:00:22, xdelay=00:00:11, mailer=esmtp, pri=240762, relay=gmail-smtp-in.l.google.com. [64.233.163.27], dsn=5.1.1, stat=User unknown

тут меня смущает несколько моментов но самый главный stat=User unknown... как так ?

3. Есть подозрения что каким-то образом был повешен скрип который наполняет очередь отправки. Но как его найти и существует ли он вообще? Подскажите куда копать и как спастись от этой беды? Могу выложить заголовки писем если это как-то может помочь

Ссылка

←	Не могу войти под root'ом

установка grub на флешку

→

Описание лога senmail здесь: http://softpanorama.net/Mail/Sendmail/sendmail_logs_format.shtml

Описание кодов ошибок: https://tools.ietf.org/html/rfc3463 dsn=5.1.1 (User unknown) == Bad destination mailbox address

как так ?

Ну отправили спам на несуществующий адрес, как так... да бардак там у спамеров, шлют куда не попадя :-)

from=... relay=[наш шлюз]

значит письмо отправлялось с вашего же сервера. Попробуйте позапускать от root'а команду ″ss -n -t -p″, смотрите какие процессы подключены к вашему шлюзу (столбец Local Address) на 25 порт. Далее попробуйте по этому имени найти исполняемый файл. Как вариант можно сделать, чтобы при попытке установить соединение на ваш ip-адрес 25 с этого же адреса был DNAT на какой-нибудь ip, где 25 порт DROP'ается, тогда соединение будет продолжительное время светиться в выводе ″ss″.

Скорее всего у вас дырка в php-скрипте, если сервер исключительно почтовый, лучше закройте на вход с наружи все порты, кроме 25.

Ну а в целом, вам нужно либо найти спеца и разово нанять его за сходную цену, либо самому становится спецом, читая всё подряд по администрированию. Очень сомневаюсь, что кто-то будет через форум изучать различные конфиги и выводы команд, чтобы найти проблему.

mky ★★★★★
(29.11.15 12:58:51 MSK)

Ответ на: комментарий от mky 29.11.15 12:58:51 MSK

На сервере еще крутиться сайт, так что вполне может быть дыра и в php. Спасибо большое буду смотреть процесы. И теорететиски если временно стопорнуть апач и все что с ним связано то если это php скрипт то спам должен прекратиться на время остановки http сервера или нет ?

AlexSys
(29.11.15 15:06:02 MSK) автор топика

Ответ на: комментарий от AlexSys 29.11.15 15:06:02 MSK

Неведомо, зависит от того, насколько глубоко взломали, если просто смогли вызвать php функцию mail(), то остановка апача поможет, а если смогли выполнить произвольный код, то там уже живущий отдельно от апача процесс.

mky ★★★★★
(30.11.15 00:55:50 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не могу войти под root'ом

Admin

установка grub на флешку

→

Похожие темы