URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 81577
[ Назад ]

Исходное сообщение
"Postfix сошел с ума? или я?"

Отправлено Apossum , 15-Авг-08 11:16 
Доброго всем времени суток!!

На моем серваке стоит связка Postfix+Amavis+Razor+Spamassasin

С недавних пор в очередь лезет немерянное количество сообщений с адреса nobody@mydomain.ru
Количество их достигает десятков тысяч..
Пытаясь разобраться в чем дело я обнаружил следующее:

Даже когда я отрубаю все интерфейсы на серваке и отрубаю сам Postfix...очередь всеравно пополняется нереальным количеством этого хлама но уже просто от nobody (без домена)...

я postsuper'ом прочекал папки очередей
я уже физически удалял все папки с очередям...Вычистил все базы Amavis+Razor+Spamassasin

всеравно прет..

я просто в шоке...как такое может быть?? откуда они берутся?

Помогите советом плз.. I'm lost!


Содержание

Сообщения в этом обсуждении
"Postfix сошел с ума? или я?"
Отправлено tetris , 15-Авг-08 11:52 

Я конечно не претендую на гениальность но чисто так для себя, поставь редирект с этого адреса(nobody@....) на себя, хочется посмотреть че там в сообщениях :-)


"Postfix сошел с ума? или я?"
Отправлено Apossum , 15-Авг-08 12:48 
>
>
>Я конечно не претендую на гениальность но чисто так для себя, поставь
>редирект с этого адреса(nobody@....) на себя, хочется посмотреть че там в
>сообщениях :-)

Откровенный спам там..но откуда он!?? ))


"Postfix сошел с ума? или я?"
Отправлено Vitaly_loki , 15-Авг-08 12:11 
>[оверквотинг удален]
>(без домена)...
>
>я postsuper'ом прочекал папки очередей
>я уже физически удалял все папки с очередям...Вычистил все базы Amavis+Razor+Spamassasin
>
>всеравно прет..
>
>я просто в шоке...как такое может быть?? откуда они берутся?
>
>Помогите советом плз.. I'm lost!

Может это cron тебе шлет такое?


"Postfix сошел с ума? или я?"
Отправлено A Clockwork Orange , 15-Авг-08 12:24 
выключаешь postfix, а очередь пополняется

"Postfix сошел с ума? или я?"
Отправлено Apossum , 15-Авг-08 12:49 
>[оверквотинг удален]
>>я postsuper'ом прочекал папки очередей
>>я уже физически удалял все папки с очередям...Вычистил все базы Amavis+Razor+Spamassasin
>>
>>всеравно прет..
>>
>>я просто в шоке...как такое может быть?? откуда они берутся?
>>
>>Помогите советом плз.. I'm lost!
>
>Может это cron тебе шлет такое?

Нет..абсолютно точно нет


"Postfix сошел с ума? или я?"
Отправлено Apossum , 15-Авг-08 12:50 
>[оверквотинг удален]
>>>
>>>всеравно прет..
>>>
>>>я просто в шоке...как такое может быть?? откуда они берутся?
>>>
>>>Помогите советом плз.. I'm lost!
>>
>>Может это cron тебе шлет такое?
>
>Нет..абсолютно точно нет

Промазал..это я насчет КРОНА...

Да очередь пополняется при отрубленном постфиксе.... может меня ломанули?


"Postfix сошел с ума? или я?"
Отправлено tetris , 15-Авг-08 12:51 
>
>Нет..абсолютно точно нет

ну так ты может всетаки покажеш че там от этого nobody приходит, там уже видно будет что там и кому и от кого.


"Postfix сошел с ума? или я?"
Отправлено Apossum , 15-Авг-08 12:55 
>>
>>Нет..абсолютно точно нет
>
>ну так ты может всетаки покажеш че там от этого nobody приходит,
>там уже видно будет что там и кому и от кого.
>

Вот кпримеру такая хрень

Return-Path: <>
Delivered-To: bad-header-quarantine
X-Envelope-From: <nobody@mydomain.ru>
X-Envelope-To: <dfff@mydomain.ru>
X-Quarantine-ID: <I5AYQgy7WR41>
X-Amavis-Alert: BAD HEADER Improper use of control character (char 0D hex):
        From:  <>\r\n
Received: from mydomain.ru ([127.0.0.1])
        by localhost (mydomain.ru [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id I5AYQgy7WR41 for <dfff@mydomain.ru>;
        Fri, 15 Aug 2008 12:54:07 +0400 (MSD)
Received: by mydomain.ru (Postfix, from userid 65534)
        id 2614D417349; Fri, 15 Aug 2008 12:34:00 +0400 (MSD)
To: dfff@mydomain.ru
Subject:
From:  <>
Reply-To:
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Message-Id: <20080815083400.2614D417349@mydomain.ru>
Date: Fri, 15 Aug 2008 12:34:00 +0400 (MSD)


"Или вот"
Отправлено Apossum , 15-Авг-08 13:03 
Return-Path: <>
Delivered-To: bad-header-quarantine
X-Envelope-From: <nobody@mydomain.ru>
X-Envelope-To: <cisa@rim.zp.ua>
X-Quarantine-ID: <0HomA8qFVl05>
X-Amavis-Alert: BAD HEADER Improper use of control character (char 0D hex):
        From: Mrs. Elena Morris <elenanoreply@gmail.com>\r\n
Received: from mydomain.ru ([127.0.0.1])
        by localhost (mydomain.ru [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id 0HomA8qFVl05 for <cisa@rim.zp.ua>;
        Fri, 15 Aug 2008 13:02:03 +0400 (MSD)
Received: by mydomain.ru (Postfix, from userid 65534)
        id 40A47416C1F; Fri, 15 Aug 2008 12:38:19 +0400 (MSD)
To: cisa@rim.zp.ua
Subject: Hello Dear/
From: Mrs. Elena Morris <elenanoreply@gmail.com>
Reply-To: ty2kt@aim.com
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Message-Id: <20080815083819.40A47416C1F@mydomain.ru>
Date: Fri, 15 Aug 2008 12:38:19 +0400 (MSD)


Hello Dear

My name is Mrs. Elena Morris; I am a dying woman who has decided to donate what I have to you and the charity organization aro
und your community. I am 62 years old and I was diagnosed for cancer for about 2 years ago immediately after the death of my h
usband who has left me everything he worked for and because the doctors told me I will not live longer than some weeks because
of my health i decided to WILL/donate the sum of $5.700.000.00 to you.

Here is the Contact information of my Attorney below:
VAN DER JOEL ADVOCATEN
ANTWOORD 1070 AM PARNASSUSWEG BOULEVARD
AMSTERDAM NETHERLANDS
Email: ty2kt@aim.com
Email: advocatenvandjoe@web2mail.com
Barr: Van Der Joel Advocaten

and tell him that I have WILLED $5.700.000.00 to you I know I don▓t know you but I have been directed to do this.

Best Regards,


"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:09 
>[оверквотинг удален]
>AMSTERDAM NETHERLANDS
>Email: ty2kt@aim.com
>Email: advocatenvandjoe@web2mail.com
>Barr: Van Der Joel Advocaten
>
>and tell him that I have WILLED $5.700.000.00 to you I know
>I don▓t know you but I have been directed to do
>this.
>
>Best Regards,

Отключи postfix. Запусти:
tcpdump -i <твоя сетевка> -xX -s32768 -w ~/smtp src or dst port 25

Затем смотри ~/smtp


"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:13 
>[оверквотинг удален]
>AMSTERDAM NETHERLANDS
>Email: ty2kt@aim.com
>Email: advocatenvandjoe@web2mail.com
>Barr: Van Der Joel Advocaten
>
>and tell him that I have WILLED $5.700.000.00 to you I know
>I don▓t know you but I have been directed to do
>this.
>
>Best Regards,

Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id 65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он его отправил, затем localhost его получил. Система однозначно взломана

Файл /var/log/auth смотри так же


"Или вот"
Отправлено Apossum , 15-Авг-08 13:18 
>[оверквотинг удален]
>>I don▓t know you but I have been directed to do
>>this.
>>
>>Best Regards,
>
>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>его отправил, затем localhost его получил. Система однозначно взломана
>
>Файл /var/log/auth смотри так же

Час от часу не легче...(((


"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:23 
>[оверквотинг удален]
>>>
>>>Best Regards,
>>
>>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>его отправил, затем localhost его получил. Система однозначно взломана
>>
>>Файл /var/log/auth смотри так же
>
>Час от часу не легче...(((

ну что там? :)


"Или вот"
Отправлено Apossum , 15-Авг-08 13:22 
>[оверквотинг удален]
>>I don▓t know you but I have been directed to do
>>this.
>>
>>Best Regards,
>
>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>его отправил, затем localhost его получил. Система однозначно взломана
>
>Файл /var/log/auth смотри так же

Да кажись понял даже как..через кривую форму на сайте(((


"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:23 
>[оверквотинг удален]
>>>
>>>Best Regards,
>>
>>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>его отправил, затем localhost его получил. Система однозначно взломана
>>
>>Файл /var/log/auth смотри так же
>
>Да кажись понял даже как..через кривую форму на сайте(((

PHP поди? :)


"Или вот"
Отправлено Apossum , 15-Авг-08 13:25 
>[оверквотинг удален]
>>>
>>>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>>его отправил, затем localhost его получил. Система однозначно взломана
>>>
>>>Файл /var/log/auth смотри так же
>>
>>Да кажись понял даже как..через кривую форму на сайте(((
>
>PHP поди? :)

ну да)


"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:26 
>[оверквотинг удален]
>>>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>>>его отправил, затем localhost его получил. Система однозначно взломана
>>>>
>>>>Файл /var/log/auth смотри так же
>>>
>>>Да кажись понял даже как..через кривую форму на сайте(((
>>
>>PHP поди? :)
>
>ну да)

Чини это дело, а то глазом моргнуть не успеешь как уже во всех блек-листах окажешься


"Или вот"
Отправлено Apossum , 15-Авг-08 13:28 
>[оверквотинг удален]
>>>>>Файл /var/log/auth смотри так же
>>>>
>>>>Да кажись понял даже как..через кривую форму на сайте(((
>>>
>>>PHP поди? :)
>>
>>ну да)
>
>Чини это дело, а то глазом моргнуть не успеешь как уже во
>всех блек-листах окажешься

Спасибо тебе!!))


"Или вот"
Отправлено tetris , 15-Авг-08 13:30 
Вот и разобрались, вот и ладненько :-)

"Или вот"
Отправлено Apossum , 15-Авг-08 13:36 
>Вот и разобрались, вот и ладненько :-)

Я думаю тут программера надо за одно место подвесить))


"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:39 
>>Вот и разобрались, вот и ладненько :-)
>
>Я думаю тут программера надо за одно место подвесить))

Может он и шлет? ;-) Он же знал поди про эту уязвимость


"Или вот"
Отправлено tetris , 15-Авг-08 13:40 
>Я думаю тут программера надо за одно место подвесить))

Или одним местом на кол посодить :-)


"Или вот"
Отправлено Apossum , 15-Авг-08 13:45 
>>Я думаю тут программера надо за одно место подвесить))
>
>Или одним местом на кол посодить :-)

Наказание -СМЕРТЬ!

приговор вынесен и обжалованию не подлежит!


"Или вот"
Отправлено BatAn , 25-Авг-08 13:49 
>>>Я думаю тут программера надо за одно место подвесить))
>>
>>Или одним местом на кол посодить :-)
>
>Наказание -СМЕРТЬ!
>
>приговор вынесен и обжалованию не подлежит!

у меня таж фигня! мож форму вообще эту форму удалить?


"Или вот"
Отправлено BatAn , 25-Авг-08 15:34 
>[оверквотинг удален]
>>>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>>>его отправил, затем localhost его получил. Система однозначно взломана
>>>>
>>>>Файл /var/log/auth смотри так же
>>>
>>>Да кажись понял даже как..через кривую форму на сайте(((
>>
>>PHP поди? :)
>
>ну да)

кривая форма удалена, а письма от nobody продолжают лезть! Чё делать, помогите!!!!