Всем доброго времени суток!
На сервере установлена почтовая система Zimbra
ОС - Debian
Почтовый ящик лежит на peterhost.ru
Почта забирается при помощи fetchmail
Зашел в консоль администрирования Zimbra увидел 27000 писем стоят в очереди, письма с одного адресата:
michael@83-55-71-84.westcall.net (в качестве домена стоит мой внешний ip адрес и после точки мой провайдер.
Если очистить почтовую очередь и перезагрузить машину, то в течении получаса все нормально, потом все начинается по новой.
Скидываю логи:
tail -f /var/log/mail.logApr 8 19:14:55 server postfix/smtpd[2422]: connect from localhost.localdomain[127.0.0.1]
Apr 8 19:14:55 server postfix/smtpd[2422]: 7CAD0254005: client=localhost.localdomain[127.0.0.1]
Apr 8 19:14:55 serverv postfix/cleanup[2923]: 7CAD0254005: message-id=<201121435702.p8N6ZoS2025279pythonmailer.co.uk>
Apr 8 19:14:56 server postfix/smtpd[2422]: disconnect from localhost.localdomain[127.0.0.1]
Apr 8 19:14:56 server postfix/qmgr[4656]: 7CAD0254005: from=<michael@83-55-71-84.westcall.net>, size=2698, nrcpt=1 (queue active)
Apr 8 19:14:56 server postfix/smtp[4721]: 1541F254003: to=<kelly-anne.johnson@virgin.net>, relay=127.0.0.1[127.0.0.1]:10024, delay=9.3, delays=4.7/0/0/4.6, dsn=2.0.0, status=sent (250 2.0.0 from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7CAD0254005)
Apr 8 19:14:56 server postfix/qmgr[4656]: 1541F254003: removed
Apr 8 19:14:56 server postfix/smtp[5084]: 7CAD0254005: to=<kelly-anne.johnson@virgin.net>, relay=smtp.peterhost.ru[80.93.62.204]:2525, delay=0.8, delays=0.7/0/0.08/0.01, dsn=5.0.0, status=bounced (host smtp.peterhost.ru[80.93.62.204] said: 550-"Sender address michael@84-52-71-84.westcall.net does not belong to any of 550 your configured mailboxes" (in reply to MAIL FROM command))
Apr 8 19:14:56 server postfix/cleanup[4755]: 3E180254003: message-id=<20140408151456.3E180254003@mydomain.ru>
Apr 8 19:14:56 server postfix/qmgr[4656]: 3E180254003: from=<>, size=4858, nrcpt=1 (queue active)
Apr 8 19:14:56 server postfix/bounce[5085]: 7CAD0254005: sender non-delivery notification: 3E180254003
Apr 8 19:14:56 server postfix/qmgr[4656]: 7CAD0254005: removed
Apr 8 19:14:56 server postfix/smtp[5084]: 3E180254003: to=<michael@84-52-71-84.westcall.net>, relay=smtp.peterhost.ru[80.93.62.204]:2525, delay=0.12, delays=0.02/0.01/0.07/0.02, dsn=5.0.0, status=bounced (host smtp.peterhost.ru[80.93.62.204] said: 550-Recipient verify failed for <michael@83-55-71-84.westcall.net> [#2012]. See 550 http://wiki.peterhost.ru/mailerrors/#2012 for details (in reply to RCPT TO command))
Apr 8 19:14:56 server postfix/qmgr[4656]: 3E180254003: removedПисал в техническую поддержку петерхоста, написали что:
Согласно имеющимся на наших серверах лог файлам и лог файлам, которые были предоставлены Вами, с сервера с IP-адресом 83-55-71-84 происходит попытка отправки писем посредством сервера smtp.peterhost.ru используя в качестве адреса отправителя и адреса получателя "michael@83-55-71-84.westcall.net", которая завершается не удачно по причине того, что данный адрес не существует, о чём и сообщается нашим сервером в ответных сообщениях:"smtp.peterhost.ru[80.93.62.204] said: 550-Recipient verify failed for
<michael@83-55-71-84.westcall.net> [#2012]. See 550
http://wiki.peterhost.ru/mailerrors/#2012 for details (in reply to RCPT TO command)""smtp.peterhost.ru[80.93.62.204] said: 550-"Sender address michael@83-55-71-84.westcall.net
does not belong to any of 550 your configured mailboxes" (in reply to MAIL FROM command)".Для устранения данной ситуации необходимо устранить источник, который производит попытку отправки писем с сервера 83-55-71-84 посредством сервера smtp.peterhost.ru.
Весь день уже сижу не могу допетрить почему создаются такие письма и где их отключить. Просьба помочь.
Заранее благодарен!
IMHO: машина заражена...
> IMHO: машина заражена...Кстати очень даже может быть, при старте машины, когда стартует зимбра-антивирус выдает кучу ошибок и в итоге не запускается. Попробую проверить, отпишусь.
> IMHO: машина заражена...Проблема остается не решенной. Установил антивирус. Запустил проверку, ничего не помогло. Точнее дня 3 проработало нормально потом снова начали рассылаться непонятные запросы.
>> IMHO: машина заражена...
> Проблема остается не решенной. Установил антивирус. Запустил проверку, ничего не помогло.
> Точнее дня 3 проработало нормально потом снова начали рассылаться непонятные запросы.IMHO: машина всё еще заражена/уязвима...
>>> IMHO: машина заражена...
>> Проблема остается не решенной. Установил антивирус. Запустил проверку, ничего не помогло.
>> Точнее дня 3 проработало нормально потом снова начали рассылаться непонятные запросы.
> IMHO: машина всё еще заражена/уязвима...Еще раз спасибо за ответ!
Я во всем этом деле профан.
При старте в момент запуска зимбры, антивирус выдает ошибку и не запускается. Но когда я после проверяю командой
zmcontrol status, то антивирус пишет, что запущен
Перезапускал отдельно антивирус на всякий случай: zmclamdctl restart
После решил переустановить Clamav, сейчас не пойму их 2 что ли стоит, тот, что от зимбры и 2-ой независимый? Может быть такое?
И чем мне во Вашему мнению мне лучше будет осуществить полную проверку на вирусы?
>>> IMHO: машина заражена...
>> Проблема остается не решенной. Установил антивирус. Запустил проверку, ничего не помогло.
>> Точнее дня 3 проработало нормально потом снова начали рассылаться непонятные запросы.
> IMHO: машина всё еще заражена/уязвима...Запустил снова на проверку clamscan
Плюс просканировал утилитой rkhunter, одно что-то нашел
Тоже самое сделал на NAT сервере, на нем тоже поднят debian.
Может еще есть рекомендации по очистке системы от всякого хлама?
>>>> IMHO: машина заражена...
>>> Проблема остается не решенной. Установил антивирус. Запустил проверку, ничего не помогло.Это не виндовс, здесь всё чуток по-другому.
>>>>> IMHO: машина заражена...
>>>> Проблема остается не решенной. Установил антивирус. Запустил проверку, ничего не помогло.
> Это не виндовс, здесь всё чуток по-другому.Это я понял:) Так какие меры можете посоветовать по удалению вредоносных программ с ОС Debian?