Здравствуйте, господа и дамы.
Вот четвертый день я каждое утро вытаскиваю корпоративный адрес из черных списков. Теперь и гугл забанил, просит картинку продиктовать.
Собственно исправить эту неприятность легко: найти уязвимость, устранить уязвимость. Вопрос только в том, как ее обнаружить. Полгода назад я уже ликвидировал скомпрометированную почтовую учетку, через которую транзитом шел спам с рамблерских ботов, но уже забыл в каком логе я тогда обнаружил ценную запись.
Дневной отчет не показывает каких-либо значительных изменений в количестве отправленных сообщений.
Собственно первый мой вопрос относится к администраторам Зимбры: у вас в логе аудита встречаются такие записи?
/opt/zimbra/log/audit.log 2015-03-03 00:45:10,608 INFO [qtp1937601231-273571:https://127.0.0.1:7071/service/admin/soap/AuthRequest] [name=zimbra;ip=127.0.0.1;ua=ZCS;] security - cmd=AdminAuth; account=zimbra;
Потому что если такого быть не должно, значит дырка как раз в учетной записи zimbra. Второй вопрос напрашивается сам по себе: безболезненно ли менять пароль? Это учетка локального юзера на сервере, в почтовой базе его нет, запустятся ли потом почтовые демоны? Текущий пароль я банально не знаю.
Сервер крутится на CentOS 6.3 x86_x64, ZCS 8.0.9, fail2ban, iptables, squid3
Буду признателен, если ткнете носом в полезные логи (/var/log/secure само собой посмотрел).