LINUX.ORG.RU
ФорумAdmin

Тихий пользователь.

 ,


0

3

Доброго дня господа.
Есть вопрос касательно одной странной ситуации.
(сразу опишу, что в ситуации я только наблюдатель, но стало дико интересно)
Есть корпоративный почтовик.
У него есть бэкдор, в виде юзера, что принимает команды письмами на него.
Сама схема ясна. Но вот бегло найти сервис/скрипт что «пасёт» письма этого пользователя - мне не удалось.
1) куда можно копнуть, если я знаю что такой скрипт есть?
2) как его могут маскировать?
3) пользователей тьмуща, конечно, но есть подозрения что этот как-то «спрятан» (база юзерей в ldap'e). т.е. можно ли стянуть юзера откуда-то слева, или прописать его хитро в дебрях конфигов/пропатченого почтовика (и что бы это явно не палилось в конфигах почтаря)?
Заранее спасибо адекватно ответившим.
Будет интересно почитать соображения.

★★★

Последнее исправление: Spirit_of_Stallman (всего исправлений: 2)

mta? из диких предположений: имно самый простой способ создать что-либо подобное — это задействовать уже готовое. т.е. например сортировку почты (procmail, dropmail, sieve, etc.) с запуском внешних команд по ключевым словам.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

mta?

Постфикс.

имно самый простой способ создать что-либо подобное — это задействовать уже готовое

Сейчас мне даже стало стыдно за себя.
Я слепо зациклился на «тут где-то скрипт\сервис», и даже думать не думал о такой очевидности.
Спасибо за идею. Нужно будет копнуть и в эту сторону.

Spirit_of_Stallman ★★★
() автор топика

Вариантлв море. Или по крону кто-то забирает, например, fetchmail, либо procmail скармливает входящие письма какому-то скрипту.

Kroz ★★★★★
()
Ответ на: комментарий от Spirit_of_Stallman

Проверь конфиг почтовика и procmail (или аналогов)

Kroz ★★★★★
()

посмотри /etc/aliases на тему

user: |/path/to/script

Skolotovich ★★★
()
Ответ на: комментарий от Spirit_of_Stallman

IMAP (например если dovecot) проверь тоже — в нём тоже есть фильтры (sieve).

beastie ★★★★★
()

Я бы в первую очередь заглянул сюда:

cat /etc/postfix/master.cf

dbzer0
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.