LINUX.ORG.RU

Много непонятных sendmail-логов в /var/log/syslog


0

1

Обнаружил тонны логов следующего вида ( XX-XX-XX-XX - мой IP, mysite.ru - мой сайт) :

Aug 20 19:03:34 XX-XX-XX-XX sm-mta[28155]: q7KF3Ww1028155: [188.50.116.225] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4
Aug 20 19:03:43 XX-XX-XX-XX sm-mta[28221]: q7KF3gYl028221: cpc1-stkn7-0-0-cust112.11-2.cable.virginmedia.com [82.18.60.113] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4
Aug 20 19:03:44 XX-XX-XX-XX sm-mta[28224]: q7KF3gNM028224: ruleset=check_rcpt, arg1=<order@mysite.ru>, relay=[188.51.56.226], reject=550 5.7.1 <order@mysite.ru>... Relaying denied. IP name lookup failed [188.51.56.226]
Aug 20 19:03:44 XX-XX-XX-XX sm-mta[28225]: q7KF3gfJ028225: ruleset=check_rcpt, arg1=<odincov@mysite.ru>, relay=[159.0.87.7], reject=550 5.7.1 <odincov@mysite.ru>... Relaying denied. IP name lookup failed [159.0.87.7]
Aug 20 19:03:44 XX-XX-XX-XX sm-mta[28224]: q7KF3gNM028224: from=<F86FE212@erikafischer.de>, size=0, class=0, nrcpts=0, proto=ESMTP, daemon=MTA-v4, relay=[188.51.56.226]

Не взлом ли это? Как проверить? Причем на сервере и доменах email не используется вообще. Планируется, но позже..

Ответ на: комментарий от pztrn

Может это бот какой-то? Как его тогда вычислить и заблочить? логов реально килограммы.. не нужна эта лишняя нагрузка..

И ещё нашёл в логах записи от крона:

Aug 20 19:20:01 XX-XX-XX-XX /USR/SBIN/CRON[376]: (smmsp) CMD (test -x /etc/init.d/sendmail && /usr/share/sendmail/sendmail cron-msp)

Не знаю что такое «test -x» - это нормально?

maskaral
() автор топика

Это спам. Привыкай, в интернете он бывает. Причем бывает очень часто, процентов 80 всей почты, ага.

Нагрузку никак не снизить, разве что использовать адаптивные анализаторы логов, которые будут добавлять особо нервных спамеров в блок-лист файрволла.

blind_oracle ★★★★★
()

Relaying denied. IP name lookup failed

Попытка использовать твой Шлимыло, как релей. Обычный тупой спам. Забей.

did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4

А вот это поинтереснее. Щупают твой Шлимыло за влажное вымя. С целью более глубокого определения версии сервиса, чем сообщает информационный баннер. Судя по разным IP адресам, работают боты. В принципе можешь забить, если своевременно обновляешь почтовик. Хотя, если хочешь задурить ботов, то можешь изменить это сообщение на типа: «пошел нах..!». Не знаю, правда, где в Шлимыле это делается.

funky
()
Ответ на: комментарий от funky

Спасибо за объяснение.

если своевременно обновляешь почтовик

Использую VPS-сервер c Debian-ом. Я не обновлял, как его обновить?

maskaral
() автор топика
Ответ на: комментарий от maskaral

В смысле, как? Как любую ОС. Это же VPS. Ну к примеру, так:

sudo aptitude update && sudo aptitude full-upgrade

funky
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.