LINUX.ORG.RU
ФорумAdmin

помогите разблокировать сервер

 , ,


1

2

Привет ЛОР!

Сегодня с утра обнаружил в ящике письмо от хостер-провайдера своей VPS о том, что на сервер поступила жалоба. Так как письмо я прочел только спустя сутки сервер заблокировали. Теперь я в панике, так как хостую ряд сайтов, которые пилят меня сейчас.

Косяк, как я понял из логов заявителя жалобы, связан с sendmail. Ну а в целом конечно с тем, что меня похоже ломанули.. Ну это я буду выяснять еще по ходу. От вас очень хочу попросить помочь с «дорожной картой» по исправлению работы sendmail'а - чтобы он перестал долбить других запросами.В работе sendmail совсем не шарю. Просто ноль.

Лог, присланный в жалобе:

Note: Local timezone is +0200 (CEST)
Jul 28 10:21:55 web1 sendmail[9886]: NOQUEUE: connect from moy_server.ru [мой IP] (may be forged)
Jul 28 10:21:55 web1 sendmail[9886]: STARTTLS=server, relay=moy_server.ru [мой IP] (may be forged), version=TLSv1/SSLv3, verify=NOT, cipher=DHE-RSA-AES256-SHA, bits=256/256
Jul 28 10:21:55 web1 sendmail[9886]: u6S8LtcP009886: AUTH failure (PLAIN): authentication failure (-13) SASL(-13): authentication failure: Password verification failed, relay=moy_server.ru [мой IP] (may be forged)
Jul 28 10:21:55 web1 sendmail[9886]: u6S8LtcP009886: moy_server.ru [мой IP] (may be forged) did not issue MAIL/EXPN/VRFY/ETRN during connection to MSA
Jul 28 10:21:55 web1 sendmail[9892]: NOQUEUE: connect from moy_server.ru [мой IP] (may be forged)
Jul 28 10:21:56 web1 sendmail[9892]: STARTTLS=server, relay=moy_server.ru [мой IP] (may be forged), version=TLSv1/SSLv3, verify=NOT, cipher=DHE-RSA-AES256-SHA, bits=256/256
Jul 28 10:21:56 web1 sendmail[9892]: u6S8LtNx009892: AUTH failure (PLAIN): authentication failure (-13) SASL(-13): authentication failure: Password verification failed, relay=moy_server.ru [мой IP] (may be forged)
Jul 28 10:21:56 web1 sendmail[9892]: u6S8LtNx009892: moy_server.ru [мой IP] (may be forged) did not issue MAIL/EXPN/VRFY/ETRN during connection to MSA
Jul 28 10:21:56 web1 sendmail[9898]: NOQUEUE: connect from moy_server.ru [мой IP] (may be forged)

Помогите пожалуйста((



Последнее исправление: Abramovich (всего исправлений: 1)

Ну для начала - останови sendmail, а затем логи со своего сервера в студию. Также в php.ini советую включить mail.log = /var/log/phpmaillog и его тоже запостить на какой-нибудь пастебин

r0ck3r ★★★★★
()

Вангую что виноват не именно ты, а быдлокодеры твоих сайтиков.

anonymous
()

помочь с «дорожной картой»

«План». Есть хорошее русское выражение - «план работ». Именно так, а не дословно, должно переводиться выражение «road map». Дословный перевод тут неуместен.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)

привлекай специалиста

targitaj ★★★★★
()

В работе sendmail совсем не шарю.

В /var/spool/mqueue (можно переопределить, но так по-умолчанию) лежат файлики df* и qf* с идентичными значениями *. Это тело сообщения и его заголовок+данные конверта. Изучай, что там лежит, и откуда оно взялось. В дополнение (а то и вместо) к mail.log, у php надо надо сделать «mail.add_x_header = On». А я бы ещё и врапер поставил с переопределением bin/sendmail, mail from и т.п., который ещё что-нибудь дорисует в заголовок (в сети попадаются примеры). Но это всё не имеет отношения к самому Sendmail, правда.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Jul 28 10:21:56 web1 sendmail[9892]: u6S8LtNx009892: AUTH failure (PLAIN): authentication failure (-13) SASL(-13): authentication failure: Password verification failed, relay=moy_server.ru [мой IP] (may be forged)

И, кстати, это же их Sendmail. То есть, кто-то от тебя хочет послать через их сервер что-то, используя логин/пароль. Вовсе не обязательно, что у тебя вообще задействован какой-то твой MTA - раз, и что он Sendmail - два.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

В настоящее время ожидаю час пока провайдер разблокирует VPS.

В сущности, как я понимаю проблема либо в моем MTA (у меня он sendmail), либо в php mail

Соответственно, источник в случае второго варианта выявляется путем включения лога phpmail, правильно понял?

Abramovich
() автор топика

Теперь я в панике, так как хостую ряд сайтов, которые пилят меня сейчас.

Что же за дебилы у тебя хостятся то...
Я в том смысле, что какому-то частнику (или мелкой конторе) это доверить.

dk-
()
Ответ на: комментарий от Abramovich

Проверял, что только с твоего ip можно зайти ?
Насколько сложный пароль в весте стоит ?
Кстати в весте на все сервисы настроен fil2ban, так что перебор паролей осложняется.
Так что ставлю на дыру в сайте, через которую вызывается mail()

Deleted
()
Ответ на: комментарий от r0ck3r

Остановил sendmail.

В логах пока бросается в глаза только http://pastebin.com/qEhZ7aLM

Сейчас ставлю mailog в php.ini и после этого, если правильно понимаю, надо смотреть какой из сайтов этой фигней страдает?

Abramovich
() автор топика
Ответ на: комментарий от Deleted

у меня centos. Пароль неподбираем.

Тоже думаю, что какой то из сайтов. Понять бы какой теперь)

Abramovich
() автор топика
Ответ на: комментарий от Abramovich

Первое что бы я смотрел :
/var/log/auth.log
может тебе php shell закинули.

Deleted
()
Ответ на: комментарий от r0ck3r

и вот еще

Today 07:52:17,"2","6","habarhost","sendmail[14898]:","","1"," u6T3qHOu014898: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:52:17,"2","6","habarhost","sendmail[946]:","","1"," accepting connections again for daemon MTA"
Today 07:52:07,"2","6","habarhost","sendmail[12598]:","","1"," runqueue: Flushing queue from /var/spool/mqueue/u6PDJnqp012329 (pri 4800500, LA 11, 5 of 5)"
Today 07:52:07,"2","6","habarhost","sendmail[12598]:","","1"," u6Q86v72013004: to=<seooptimization24@rambler.ru>, ctladdr=<nginx@habarhost.ru> (498/499), delay=2+19:45:10, xdelay=00:01:21, mailer=esmtp, pri=3992557, relay=imx2.rambler.ru. [81.19.66.234], dsn=4.2.0, stat=Deferred: 450 4.1.8 <nginx@habarhost.ru>: Sender address rejected: Domain not found"
Today 07:52:02,"2","5","habarhost","sendmail[946]:","","1"," rejecting connections on daemon MTA: load average: 12"
Today 07:51:47,"2","6","habarhost","sendmail[14671]:","","1"," u6T3plmk014671: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:51:47,"2","5","habarhost","sendmail[946]:","","1"," rejecting connections on daemon MTA: load average: 12"
Today 07:51:43,"2","6","habarhost","sendmail[14636]:","","1"," u6T3ph4X014636: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:51:40,"2","6","habarhost","sendmail[14610]:","","1"," u6T3peB0014610: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:51:30,"2","6","habarhost","sendmail[14536]:","","1"," u6T3pUAa014536: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:51:30,"2","6","habarhost","sendmail[14535]:","","1"," u6T3pUpd014535: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:50:46,"2","6","habarhost","sendmail[12598]:","","1"," u6QEG5qW013316: to=<sendmailtestwso@rambler.ru>, ctladdr=<nginx@habarhost.ru> (498/499), delay=2+13:34:41, xdelay=00:01:21, mailer=esmtp, pri=3990623, relay=imx2.rambler.ru. [81.19.66.234], dsn=4.2.0, stat=Deferred: 450 4.1.8 <nginx@habarhost.ru>: Sender address rejected: Domain not found"
Today 07:50:46,"2","6","habarhost","sendmail[12598]:","","1"," STARTTLS=client, relay=imx2.rambler.ru., version=TLSv1/SSLv3, verify=FAIL, cipher=AES256-SHA, bits=256/256"
Today 07:50:11,"2","6","habarhost","sendmail[13908]:","","1"," u6T3oB6j013908: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:50:08,"2","6","habarhost","sendmail[13885]:","","1"," u6T3o8gu013885: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:49:59,"2","6","habarhost","sendmail[13815]:","","1"," u6T3nxGA013815: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:49:56,"2","6","habarhost","sendmail[13791]:","","1"," u6T3nuCk013791: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:49:35,"2","6","habarhost","sendmail[13624]:","","1"," u6T3nZdb013624: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:49:35,"2","6","habarhost","sendmail[13623]:","","1"," u6T3nZdb013623: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA"
Today 07:49:25,"2","6","habarhost","sendmail[12598]:","","1"," u6QB9n3N013046: to=<1688811@sms.beemail.ru>, ctladdr=<nginx@habarhost.ru> (498/499), delay=2+16:39:36, xdelay=00:00:00, mailer=esmtp, pri=3990513, relay=mxt.beeline.ru. [217.118.84.20], dsn=4.1.8, stat=Deferred: 450 4.1.8 <nginx@habarhost.ru>: Sender address rejected: Domain not found"
Today 07:49:25,"2","6","habarhost","sendmail[12598]:","","1"," STARTTLS=client, relay=mxt.beeline.ru., version=TLSv1/SSLv3, verify=FAIL, cipher=DHE-RSA-AES256-SHA, bits=256/256"
Today 07:49:25,"2","6","habarhost","sendmail[12598]:","","1"," u6QEGAku013320: to=<sendmailtestwso@rambler.ru>, ctladdr=<nginx@habarhost.ru> (498/499), delay=2+13:33:15, xdelay=00:02:00, mailer=esmtp, pri=3990479, relay=imx2.rambler.ru. [81.19.66.235], dsn=4.2.0, stat=Deferred: 450 4.1.8 <nginx@habarhost.ru>: Sender address rejected: Domain not found"
Today 07:49:25,"2","6","habarhost","sendmail[12598]:","","1"," STARTTLS=client, relay=imx2.rambler.ru., version=TLSv1/SSLv3, verify=FAIL, cipher=AES256-SHA, bits=256/256"

Этот товарищ sendmailwso@rambler.ru вообще переодически в логе попадается постоянно

Abramovich
() автор топика
Ответ на: комментарий от Abramovich

Соответственно, источник в случае второго варианта выявляется путем
включения лога phpmail, правильно понял?

Скорее нет. Если бы от тебя рассылка через локальный MTA шла, в жалобе бы не было про попытку аутентификации. Скорее, это подсаженный на какой-то сайт червь, который может в локальных логах вовсе не светиться, а отправку по smtp реализовывать самостоятельно. Но включить не помешает, так как если этот есть, могут и другие быть, которые php mail() используют. И, вероятно, в коде того же сайта.

AS ★★★★★
()
Ответ на: комментарий от Abramovich

в логе попадается

Ты бы E-Mail-ы не светил, вдруг они не виноваты. Особенно @sms.beemail. И уже посмотри, что в спуле. /var/spool/clientmqueue тоже не забудь.

mail.add_x_header = On уже должен был сделать, но, разумеется, это только на новые отправки влиять будет.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Но тогда почему лог sendmail (см линк на pastebin) замусорился сообщением, аналогичным сообщению в логах поступившей на меня жалобы.

Email'ы не виноваты. Один из них вовсе мой, а другой оказалось относится к проверке работы sendmail в модуле на одном из сайтов на wordpress.

Abramovich
() автор топика

До кучи, понаблюдать netstat -npt | grep 25, может и увидите процесс который рассылкой занимается

anc ★★★★★
()
Ответ на: комментарий от shooter93

По дефолту заводит пользователя admin в которого можно логиниться как через вебморду, так и через ssh, по дефолту включается в группу sudo.
В панели можно выставить nologin для юзера, что ограничит доступ по ssh.

Deleted
()
Ответ на: комментарий от Abramovich

Но тогда почему лог sendmail (см линк на pastebin) замусорился сообщением, аналогичным

Нет, не аналогичным. Отсутствует «AUTH failure (PLAIN): authentication failure». Этот момент тут ключевой. А что касается «did not issue MAIL/EXPN/VRFY/ETRN during connection», то эту строку Sendmail записывает, если клиент с другой стороны SMTP-сессии молча отпадает, а этому может быть много причин, но все они касаются той стороны. Попробуй сам: напиши telnet localhost 25, потом просто прибей telnet (возможно, после helo ещё).

AS ★★★★★
()
20 февраля 2017 г.
Ответ на: комментарий от Abramovich

sendmailtestwso - это поста на которую этот дебил получает обновление параметров бекдора PHP Shell

sendmailtestwso - это поста на которую этот дебил получает обновление параметров бекдора PHP Shell

он и по сей день этим мейлом пользуется. но еще несколкьо запасных в логах будет видно как мейлят с ПХП скрипта по списку емейлов, переодически на этот емейл отчеты и новые параметры шлют итд..

от меня на днях криптик рассылался , виной всемы последняя версия JOOMLA она как решето вся дырявая ((

открой ютуб и набери в поиске PHP shell JOOMLA посмотри ролики инструкции для школьников

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.