с сервера идет какой-то спам, спасите, помогите

0

0

на сервере Debian Lenny, запущен postfix. недавно на сервер поступила жалоба - якобы с него рассылается спам.

в логах действительно куча вот такого: http://pastebin.com/Q2gz6FiE , которое появляется буквально ежеминутно (там в логах все ерроры да Your ip address is blacklisted, но не в этом суть).

кто засел на сервере, в чем может быть причина?

Ссылка

←	SQUID + 2 провайдера

Существуют ли серверы SMS сообщений для Linux?

→

http://www.checkor.com/

Проверься для начала

GoNaX ★★★
(24.06.10 17:35:38 MSD)

Ответ на: комментарий от GoNaX 24.06.10 17:35:38 MSD

(110) Connection timed out

на 110 порте висит cyrus pop3d

z-kzn-z
(24.06.10 17:42:55 MSD) автор топика

Ответ на: комментарий от z-kzn-z 24.06.10 17:42:55 MSD

>(110) Connection timed out

Это к поп3 никакого отнощения не имеет

GoNaX ★★★
(24.06.10 18:23:31 MSD)

Ссылка

100% у вас рыло открытое - Open Relay.

Kakerlak ★
(24.06.10 18:53:19 MSD)

Ссылка

RELAY

Пост не читай
@
Сразу отвечай

~~power~~ ★
(24.06.10 19:10:35 MSD)

Ссылка

У тебя в main.cf задан параметр smtpd_sasl_auth_enable?

В *_restrictions присутствует опция permit_sasl_authenticated?

Будет удобнее всего, если ты выложишь весь main.cf.

lena
(24.06.10 23:01:57 MSD)

Ссылка

Посмотри откуда письма в очередь попали. Через скрипты пхп-шные могли это сделать, поставь php mail header patch и увидешь так это или нет.

true_admin ★★★★★
(24.06.10 23:53:43 MSD)

Ответ на: комментарий от true_admin 24.06.10 23:53:43 MSD

> Через скрипты пхп-шные могли это сделать

true_admin, через скрипты не могли, потому что на сервере только один сайт, который собственно мой, а я такого не делал) и доступа ни у кого нету больше.

У тебя в main.cf задан параметр smtpd_sasl_auth_enable?

В *_restrictions присутствует опция permit_sasl_authenticated?

Будет удобнее всего, если ты выложишь весь main.cf.

да, все присутствует..

main.cf: http://pastebin.com/4fySSmnn

z-kzn-z
(25.06.10 01:06:58 MSD) автор топика

Ответ на: комментарий от z-kzn-z 25.06.10 01:06:58 MSD

ты заголовки писем смотри откуда они на сервер попали.

потому что на сервере только один сайт, который собственно мой, а я такого не делал) и доступа ни у кого нету больше.

все так говорят

true_admin ★★★★★
(25.06.10 12:39:12 MSD)

Ответ на: комментарий от true_admin 25.06.10 12:39:12 MSD

так, походу проблема решена (надеюсь).

почистил очередь postfix, там было чуть больше 5000 писем, которые все никак не отправлялись (connection refused и тд). подозреваю, что до вчерашнего вечера, пока я не закрыл 25 порт, действительно был открытый релей и спамеры радостно этим пользовались. а в логи записывались сообщения о неудачных попытках отправки этих писем из очереди. вот уже полчаса в логах тишина... всем спасибо)

z-kzn-z
(25.06.10 14:17:46 MSD) автор топика

Ответ на: комментарий от z-kzn-z 25.06.10 14:17:46 MSD

алсо расскажу случай

долго не мог понять что за байда была на одном почтовике, который попросили починить
рассылал спам он, причем ацки. причем все правила были настроены. сасл авторизация на смтп и так далее. все никак не пог понять.

в итоге после долгого чтения лога нашел
брутфорсом подобрали пароль у юзера admin@domain.ru и рассылали >_<

отсюда вывод - требуйте сложные пароли.
а лучше генерить рандомные и выдавать, не позволяя их менять.

guyvernk ★
(25.06.10 14:25:00 MSD)