The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"postfix сильно спамит"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Блокирование спама и вирусов / Linux)
Изначальное сообщение [ Отслеживать ]

"postfix сильно спамит"  +/
Сообщение от yumix33 (ok) on 16-Май-13, 11:20 
Добрый день!

Сервер на Debian GNU/Linux 5.0.6 (lenny) был взломан и теперь Postfix занимается рассылкой спама в огромных количествах.

За 12 часов логи вырастают до 400 Мб:

63C821A70C5 665 Thu May 16 00:57:06 maryellen_knight@mydomain.ru (delivery temporarily suspended: host mta5.am0.yahoodns.net[98.136.216.25] refused to talk to me: 421 4.7.0 [TS01] Messages from myIP temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html) exctme@yahoo.com

6F870BDD96 683 Thu May 16 04:58:11 priscilla_stein@mydomain.ru (host mailstore1.secureserver.net[72.167.238.29] refused to talk to me: 554 p3plibsmtp01-05.prod.phx3.secureserver.net bizsmtp Connection refused. IB111) network@mediterraneobrickell.com

6C377147A2A 650 Wed May 15 22:23:26 jacqueline_holder@mydomain.ru (delivery temporarily suspended: connect to hotmail.co[65.55.39.12]:25: Connection timed out) gareth_edwards147@hotmail.co

68CD1BF53D 639 Thu May 16 06:47:15 irma_nunez@mydomain.ru (delivery temporarily suspended: host mta6.am0.yahoodns.net[98.136.217.203] refused to talk to me: 421 4.7.0 [TS01] Messages from myIP temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html) damilarerapheal@yahoo.com

в очереди на отправку 52314 писем.

Clamav и rkhunter ничего не нашли.

На данный момент Postfix остановлен, но очередь писем все равно растет.

Как отследить кто/что генерирует и рассылает спам и как это остановить?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "postfix сильно спамит"  +/
Сообщение от Аноним (??) on 16-Май-13, 12:20 
Позвать стороннего специалиста, который разбирается в дебиан и постфикс. Обратиться к нему с просьбой переустановить сервер и провести аудит инфраструктуры.

Это серьезный совет. Если вы не видите, откуда берется спам - значит, ваших знаний не хватит. Нужно проделать много шагов - например, полностью отключить сервер от сети, проверить контрольные суммы бинарников с помощью менеджера пакетов, провести аудит логов. Обязательно выяснить общую картину инцидента. И поднять сервер с нуля. Лучше всего виртуальный.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "postfix сильно спамит"  +/
Сообщение от Аноним (??) on 16-Май-13, 13:21 
Можно попробовать загрузиться с LiveCD(USB) спецдистрибутивы для аудита безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "postfix сильно спамит"  +/
Сообщение от VM on 16-Май-13, 19:11 
> Сервер . . . был взломан и теперь Postfix занимается
> рассылкой спама в огромных количествах.

Если не хотите долго и нудно упрашивать дежартелей "черных списков"
исключить ваш внешний IP
советую первым делом отключить сервер от Inet-а

На подмену -- из backup-а или чуть ли не заново установить с нуля

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "postfix сильно спамит"  +/
Сообщение от PavelR (ok) on 17-Май-13, 08:02 
>> Сервер . . . был взломан и теперь Postfix занимается
>> рассылкой спама в огромных количествах.
>  Если не хотите долго и нудно упрашивать дежартелей "черных списков"
> исключить ваш внешний IP
> советую первым делом отключить сервер от Inet-а
>  На подмену -- из backup-а или чуть ли не заново установить
> с нуля

не чуть ли, а заново установить - в обязательном порядке.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "postfix сильно спамит"  +/
Сообщение от ALex_hha (ok) on 21-Май-13, 21:21 
Настройки postfix покажи

postconf -n

есть ли на сервере веб сайты?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "postfix сильно спамит"  +/
Сообщение от ALex_hha (ok) on 21-Май-13, 21:22 
>>> Сервер . . . был взломан и теперь Postfix занимается
>>> рассылкой спама в огромных количествах.
>>  Если не хотите долго и нудно упрашивать дежартелей "черных списков"
>> исключить ваш внешний IP
>> советую первым делом отключить сервер от Inet-а
>>  На подмену -- из backup-а или чуть ли не заново установить
>> с нуля
> не чуть ли, а заново установить - в обязательном порядке.

круто, но как правило помогает в среде windows ;)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor