Новые ответы

postfix сильно спамит,

yumix33, 16-Май-13, 11:20 [смотреть все]

Добрый день!
Сервер на Debian GNU/Linux 5.0.6 (lenny) был взломан и теперь Postfix занимается рассылкой спама в огромных количествах.
За 12 часов логи вырастают до 400 Мб:
63C821A70C5 665 Thu May 16 00:57:06 maryellen_knight@mydomain.ru (delivery temporarily suspended: host mta5.am0.yahoodns.net[98.136.216.25] refused to talk to me: 421 4.7.0 [TS01] Messages from myIP temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html) exctme@yahoo.com
6F870BDD96 683 Thu May 16 04:58:11 priscilla_stein@mydomain.ru (host mailstore1.secureserver.net[72.167.238.29] refused to talk to me: 554 p3plibsmtp01-05.prod.phx3.secureserver.net bizsmtp Connection refused. IB111) network@mediterraneobrickell.com
6C377147A2A 650 Wed May 15 22:23:26 jacqueline_holder@mydomain.ru (delivery temporarily suspended: connect to hotmail.co[65.55.39.12]:25: Connection timed out) gareth_edwards147@hotmail.co
68CD1BF53D 639 Thu May 16 06:47:15 irma_nunez@mydomain.ru (delivery temporarily suspended: host mta6.am0.yahoodns.net[98.136.217.203] refused to talk to me: 421 4.7.0 [TS01] Messages from myIP temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html) damilarerapheal@yahoo.com
в очереди на отправку 52314 писем.
Clamav и rkhunter ничего не нашли.
На данный момент Postfix остановлен, но очередь писем все равно растет.
Как отследить кто/что генерирует и рассылает спам и как это остановить?

Ответить | Сообщить модератору

postfix сильно спамит, Аноним, 12:20 , 16-Май-13 (1)
Позвать стороннего специалиста, который разбирается в дебиан и постфикс. Обратиться к нему с просьбой переустановить сервер и провести аудит инфраструктуры.
Это серьезный совет. Если вы не видите, откуда берется спам - значит, ваших знаний не хватит. Нужно проделать много шагов - например, полностью отключить сервер от сети, проверить контрольные суммы бинарников с помощью менеджера пакетов, провести аудит логов. Обязательно выяснить общую картину инцидента. И поднять сервер с нуля. Лучше всего виртуальный.
Ответить | Сообщить модератору
postfix сильно спамит, Аноним, 13:21 , 16-Май-13 (2)
Можно попробовать загрузиться с LiveCD(USB) спецдистрибутивы для аудита безопасности.
Ответить | Сообщить модератору
postfix сильно спамит, VM, 19:11 , 16-Май-13 (3)
> Сервер . . . был взломан и теперь Postfix занимается
> рассылкой спама в огромных количествах.
Если не хотите долго и нудно упрашивать дежартелей "черных списков"
исключить ваш внешний IP
советую первым делом отключить сервер от Inet-а
На подмену -- из backup-а или чуть ли не заново установить с нуля
Ответить | Сообщить модератору

postfix сильно спамит, PavelR, 08:02 , 17-Май-13 (4)
>> Сервер . . . был взломан и теперь Postfix занимается
>> рассылкой спама в огромных количествах.
> Если не хотите долго и нудно упрашивать дежартелей "черных списков"
> исключить ваш внешний IP
> советую первым делом отключить сервер от Inet-а
> На подмену -- из backup-а или чуть ли не заново установить
> с нуля
не чуть ли, а заново установить - в обязательном порядке.
Ответить | Сообщить модератору

postfix сильно спамит, ALex_hha, 21:22 , 21-Май-13 (6)
>>> Сервер . . . был взломан и теперь Postfix занимается
>>> рассылкой спама в огромных количествах.
>> Если не хотите долго и нудно упрашивать дежартелей "черных списков"
>> исключить ваш внешний IP
>> советую первым делом отключить сервер от Inet-а
>> На подмену -- из backup-а или чуть ли не заново установить
>> с нуля
> не чуть ли, а заново установить - в обязательном порядке.
круто, но как правило помогает в среде windows ;)
Ответить | Сообщить модератору

postfix сильно спамит, ALex_hha, 21:21 , 21-Май-13 (5)
Настройки postfix покажи
postconf -n
есть ли на сервере веб сайты?
Ответить | Сообщить модератору