LINUX.ORG.RU

my zimbra in botnet!

 ,


0

3

Здравствуйте, господа и дамы.

Вот четвертый день я каждое утро вытаскиваю корпоративный адрес из черных списков. Теперь и гугл забанил, просит картинку продиктовать.

Собственно исправить эту неприятность легко: найти уязвимость, устранить уязвимость. Вопрос только в том, как ее обнаружить. Полгода назад я уже ликвидировал скомпрометированную почтовую учетку, через которую транзитом шел спам с рамблерских ботов, но уже забыл в каком логе я тогда обнаружил ценную запись.

Дневной отчет не показывает каких-либо значительных изменений в количестве отправленных сообщений.

Собственно первый мой вопрос относится к администраторам Зимбры: у вас в логе аудита встречаются такие записи?

/opt/zimbra/log/audit.log
2015-03-03 00:45:10,608 INFO  [qtp1937601231-273571:https://127.0.0.1:7071/service/admin/soap/AuthRequest] [name=zimbra;ip=127.0.0.1;ua=ZCS;] security - cmd=AdminAuth; account=zimbra;

Потому что если такого быть не должно, значит дырка как раз в учетной записи zimbra. Второй вопрос напрашивается сам по себе: безболезненно ли менять пароль? Это учетка локального юзера на сервере, в почтовой базе его нет, запустятся ли потом почтовые демоны? Текущий пароль я банально не знаю.

Сервер крутится на CentOS 6.3 x86_x64, ZCS 8.0.9, fail2ban, iptables, squid3

Буду признателен, если ткнете носом в полезные логи (/var/log/secure само собой посмотрел).



Последнее исправление: Klymedy (всего исправлений: 1)

Ответ на: комментарий от dexpl

она логгирует в /var/log/zimbra.log, это постфикс логи что, куда, кому доставлено, полезно для поиска потерянных в очереди писем. Я отыскивал нужное в директории /opt/zimbra/log/, там логи поинтереснее.

mrPresedent
() автор топика
Ответ на: комментарий от mrPresedent

Если бы имела место массивная рассылка спама, можно было бы думать о взломе почты. Но раз гугл просит ввести символы с картинки, значит дела немного серьезнее, репутация моего адреса упала ниже плинтуса.

mrPresedent
() автор топика

Собственно первый мой вопрос относится к администраторам Зимбры: у вас в логе аудита встречаются такие записи?

Я не админ зимбры, просто мимо проходил.

[root@mail ~]# grep "ZCS.*AdminAuth" /opt/zimbra/log/audit.log | head -1
2015-03-03 00:00:06,332 INFO  [qtp1798656129-469:https://192.168.3.100:7071/service/admin/soap/AuthRequest] [name=zimbra;ip=192.168.3.100;ua=ZCS;] security - cmd=AdminAuth; account=zimbra
192.168.3.100 — локальный адрес почтовика.

Deleted
()
Ответ на: комментарий от Deleted

Значит дело не в этом, надо думать дальше. Ночные логи безопасности говорят о многих попытках залогиниться под рутом с последующим баном айпишника. Выследить дырку пока не получилось.

mrPresedent
() автор топика
Ответ на: комментарий от mrPresedent

Вот что меня смущает, так это неясности в статистике. Вот например:

Grand Totals
------------
messages

    972   received
   2563   delivered
      0   forwarded
      8   deferred  (38  deferrals)
     85   bounced
    609   rejected (19%)
      0   reject warnings
      0   held
      0   discarded (0%)

 459279k  bytes received
   1282m  bytes delivered
    422   senders
    214   sending hosts/domains
    199   recipients
     56   recipient hosts/domains

..................

Per-Hour Traffic Daily Average
------------------------------
    time          received  delivered   deferred    bounced     rejected
    --------------------------------------------------------------------
    0000-0100           0          0          0          0          0
    0100-0200           0          0          0          0          0
    0200-0300           8         17          1          1          4
    0300-0400           9         29          2          2         12
    0400-0500           7         17          1          2          4
    0500-0600          10         27          2          2         27
    0600-0700          29         60          2          2         14
    0700-0800          22         59          1          2         34
    0800-0900          60        150          2          6         13
    0900-1000          50        145          2          4         48
    1000-1100          50        129          1          5         25
    1100-1200          46        123          1          2         25
    1200-1300          62        169          3          2         34
    1300-1400          54        138          3          9         22
    1400-1500          48        115          2          3         20
    1500-1600          27         83          1          2         26
    1600-1700           8         23          0          1          0

....................

Host/Domain Summary: Message Delivery (top 50)
----------------------------------------------
 sent cnt  bytes   defers   avg dly max dly host/domain
 -------- -------  -------  ------- ------- -----------
   2069     1064m       0     2.9 s    5.3 m  mydomain.ru
    135    65380k       0     3.2 s   18.0 s  mail.ru
     68    95232        0     1.1 s    7.5 s  mail.mydomain.ru
     40    16700k       0     3.2 s   20.0 s  bk.ru
     26    20875k       0     1.5 s    3.1 s  yandex.ru
     14     5469k       0     2.7 s    6.5 s  eks.perm.ru

.................

top 50 Senders by message count
-------------------------------
    119   robot@mydomain.ru
     30   15unh0261@bashneft.ru
     28   root@mail.mydomain.ru
     27   from=<>
     21   kapteleva@mydomain.ru
     16   corp@mydomain.ru

и далее по паре писем

В зимбре наверняка есть нормальный консольный вывод информации по отправленным письмам, кто нибудь в курсе?

mrPresedent
() автор топика
Ответ на: комментарий от mrPresedent

Тема закрыта, кто-то что-то цепанул в сети и совершает автоматические запросы.

mrPresedent
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.