URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 81577
[ Назад ]

Исходное сообщение
"Postfix сошел с ума? или я?"
Отправлено Apossum , 15-Авг-08 11:16

Доброго всем времени суток!!
На моем серваке стоит связка Postfix+Amavis+Razor+Spamassasin
С недавних пор в очередь лезет немерянное количество сообщений с адреса nobody@mydomain.ru
Количество их достигает десятков тысяч..
Пытаясь разобраться в чем дело я обнаружил следующее:
Даже когда я отрубаю все интерфейсы на серваке и отрубаю сам Postfix...очередь всеравно пополняется нереальным количеством этого хлама но уже просто от nobody (без домена)...
я postsuper'ом прочекал папки очередей
я уже физически удалял все папки с очередям...Вычистил все базы Amavis+Razor+Spamassasin
всеравно прет..
я просто в шоке...как такое может быть?? откуда они берутся?
Помогите советом плз.. I'm lost!

Содержание

Postfix сошел с ума? или я?,tetris, 11:52 , 15-Авг-08
- Postfix сошел с ума? или я?,Apossum, 12:48 , 15-Авг-08
Postfix сошел с ума? или я?,Vitaly_loki, 12:11 , 15-Авг-08
- Postfix сошел с ума? или я?,A Clockwork Orange, 12:24 , 15-Авг-08
- Postfix сошел с ума? или я?,Apossum, 12:49 , 15-Авг-08
  - Postfix сошел с ума? или я?,Apossum, 12:50 , 15-Авг-08
  - Postfix сошел с ума? или я?,tetris, 12:51 , 15-Авг-08
    - Postfix сошел с ума? или я?,Apossum, 12:55 , 15-Авг-08
    - Или вот,Apossum, 13:03 , 15-Авг-08
      - Или вот,Vitaly_loki, 13:09 , 15-Авг-08
      - Или вот,Vitaly_loki, 13:13 , 15-Авг-08
        
        Или вот,Apossum, 13:18 , 15-Авг-08
        
        Или вот,Vitaly_loki, 13:23 , 15-Авг-08
        
        Или вот,Apossum, 13:22 , 15-Авг-08
        
        Или вот,Vitaly_loki, 13:23 , 15-Авг-08
        
        Или вот,Apossum, 13:25 , 15-Авг-08
        
        Или вот,Vitaly_loki, 13:26 , 15-Авг-08
        
        Или вот,Apossum, 13:28 , 15-Авг-08
        Или вот,tetris, 13:30 , 15-Авг-08
        
        Или вот,Apossum, 13:36 , 15-Авг-08
        
        Или вот,Vitaly_loki, 13:39 , 15-Авг-08
        Или вот,tetris, 13:40 , 15-Авг-08
        
        Или вот,Apossum, 13:45 , 15-Авг-08
        
        Или вот,BatAn, 13:49 , 25-Авг-08
        
        Или вот,BatAn, 15:34 , 25-Авг-08

Сообщения в этом обсуждении

"Postfix сошел с ума? или я?"
Отправлено tetris , 15-Авг-08 11:52

Я конечно не претендую на гениальность но чисто так для себя, поставь редирект с этого адреса(nobody@....) на себя, хочется посмотреть че там в сообщениях :-)

"Postfix сошел с ума? или я?"
Отправлено Apossum , 15-Авг-08 12:48

>
>
>Я конечно не претендую на гениальность но чисто так для себя, поставь
>редирект с этого адреса(nobody@....) на себя, хочется посмотреть че там в
>сообщениях :-)
Откровенный спам там..но откуда он!?? ))

"Postfix сошел с ума? или я?"
Отправлено Vitaly_loki , 15-Авг-08 12:11

>[оверквотинг удален]
>(без домена)...
>
>я postsuper'ом прочекал папки очередей
>я уже физически удалял все папки с очередям...Вычистил все базы Amavis+Razor+Spamassasin
>
>всеравно прет..
>
>я просто в шоке...как такое может быть?? откуда они берутся?
>
>Помогите советом плз.. I'm lost!
Может это cron тебе шлет такое?

"Postfix сошел с ума? или я?"
Отправлено A Clockwork Orange , 15-Авг-08 12:24

выключаешь postfix, а очередь пополняется

"Postfix сошел с ума? или я?"
Отправлено Apossum , 15-Авг-08 12:49

>[оверквотинг удален]
>>я postsuper'ом прочекал папки очередей
>>я уже физически удалял все папки с очередям...Вычистил все базы Amavis+Razor+Spamassasin
>>
>>всеравно прет..
>>
>>я просто в шоке...как такое может быть?? откуда они берутся?
>>
>>Помогите советом плз.. I'm lost!
>
>Может это cron тебе шлет такое?
Нет..абсолютно точно нет

"Postfix сошел с ума? или я?"
Отправлено Apossum , 15-Авг-08 12:50

>[оверквотинг удален]
>>>
>>>всеравно прет..
>>>
>>>я просто в шоке...как такое может быть?? откуда они берутся?
>>>
>>>Помогите советом плз.. I'm lost!
>>
>>Может это cron тебе шлет такое?
>
>Нет..абсолютно точно нет
Промазал..это я насчет КРОНА...
Да очередь пополняется при отрубленном постфиксе.... может меня ломанули?

"Postfix сошел с ума? или я?"
Отправлено tetris , 15-Авг-08 12:51

>
>Нет..абсолютно точно нет
ну так ты может всетаки покажеш че там от этого nobody приходит, там уже видно будет что там и кому и от кого.

"Postfix сошел с ума? или я?"
Отправлено Apossum , 15-Авг-08 12:55

>>
>>Нет..абсолютно точно нет
>
>ну так ты может всетаки покажеш че там от этого nobody приходит,
>там уже видно будет что там и кому и от кого.
>
Вот кпримеру такая хрень
Return-Path: <>
Delivered-To: bad-header-quarantine
X-Envelope-From: <nobody@mydomain.ru>
X-Envelope-To: <dfff@mydomain.ru>
X-Quarantine-ID: <I5AYQgy7WR41>
X-Amavis-Alert: BAD HEADER Improper use of control character (char 0D hex):
        From:  <>\r\n
Received: from mydomain.ru ([127.0.0.1])
        by localhost (mydomain.ru [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id I5AYQgy7WR41 for <dfff@mydomain.ru>;
        Fri, 15 Aug 2008 12:54:07 +0400 (MSD)
Received: by mydomain.ru (Postfix, from userid 65534)
        id 2614D417349; Fri, 15 Aug 2008 12:34:00 +0400 (MSD)
To: dfff@mydomain.ru
Subject:
From:  <>
Reply-To:
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Message-Id: <20080815083400.2614D417349@mydomain.ru>
Date: Fri, 15 Aug 2008 12:34:00 +0400 (MSD)

"Или вот"
Отправлено Apossum , 15-Авг-08 13:03

Return-Path: <>
Delivered-To: bad-header-quarantine
X-Envelope-From: <nobody@mydomain.ru>
X-Envelope-To: <cisa@rim.zp.ua>
X-Quarantine-ID: <0HomA8qFVl05>
X-Amavis-Alert: BAD HEADER Improper use of control character (char 0D hex):
        From: Mrs. Elena Morris <elenanoreply@gmail.com>\r\n
Received: from mydomain.ru ([127.0.0.1])
        by localhost (mydomain.ru [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id 0HomA8qFVl05 for <cisa@rim.zp.ua>;
        Fri, 15 Aug 2008 13:02:03 +0400 (MSD)
Received: by mydomain.ru (Postfix, from userid 65534)
        id 40A47416C1F; Fri, 15 Aug 2008 12:38:19 +0400 (MSD)
To: cisa@rim.zp.ua
Subject: Hello Dear/
From: Mrs. Elena Morris <elenanoreply@gmail.com>
Reply-To: ty2kt@aim.com
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Message-Id: <20080815083819.40A47416C1F@mydomain.ru>
Date: Fri, 15 Aug 2008 12:38:19 +0400 (MSD)

Hello Dear
My name is Mrs. Elena Morris; I am a dying woman who has decided to donate what I have to you and the charity organization aro
und your community. I am 62 years old and I was diagnosed for cancer for about 2 years ago immediately after the death of my h
usband who has left me everything he worked for and because the doctors told me I will not live longer than some weeks because
of my health i decided to WILL/donate the sum of $5.700.000.00 to you.
Here is the Contact information of my Attorney below:
VAN DER JOEL ADVOCATEN
ANTWOORD 1070 AM PARNASSUSWEG BOULEVARD
AMSTERDAM NETHERLANDS
Email: ty2kt@aim.com
Email: advocatenvandjoe@web2mail.com
Barr: Van Der Joel Advocaten
and tell him that I have WILLED $5.700.000.00 to you I know I don▓t know you but I have been directed to do this.
Best Regards,

"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:09

>[оверквотинг удален]
>AMSTERDAM NETHERLANDS
>Email: ty2kt@aim.com
>Email: advocatenvandjoe@web2mail.com
>Barr: Van Der Joel Advocaten
>
>and tell him that I have WILLED $5.700.000.00 to you I know
>I don▓t know you but I have been directed to do
>this.
>
>Best Regards,
Отключи postfix. Запусти:
tcpdump -i <твоя сетевка> -xX -s32768 -w ~/smtp src or dst port 25
Затем смотри ~/smtp

"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:13

>[оверквотинг удален]
>AMSTERDAM NETHERLANDS
>Email: ty2kt@aim.com
>Email: advocatenvandjoe@web2mail.com
>Barr: Van Der Joel Advocaten
>
>and tell him that I have WILLED $5.700.000.00 to you I know
>I don▓t know you but I have been directed to do
>this.
>
>Best Regards,
Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id 65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он его отправил, затем localhost его получил. Система однозначно взломана
Файл /var/log/auth смотри так же

"Или вот"
Отправлено Apossum , 15-Авг-08 13:18

>[оверквотинг удален]
>>I don▓t know you but I have been directed to do
>>this.
>>
>>Best Regards,
>
>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>его отправил, затем localhost его получил. Система однозначно взломана
>
>Файл /var/log/auth смотри так же
Час от часу не легче...(((

"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:23

>[оверквотинг удален]
>>>
>>>Best Regards,
>>
>>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>его отправил, затем localhost его получил. Система однозначно взломана
>>
>>Файл /var/log/auth смотри так же
>
>Час от часу не легче...(((
ну что там? :)

"Или вот"
Отправлено Apossum , 15-Авг-08 13:22

>[оверквотинг удален]
>>I don▓t know you but I have been directed to do
>>this.
>>
>>Best Regards,
>
>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>его отправил, затем localhost его получил. Система однозначно взломана
>
>Файл /var/log/auth смотри так же
Да кажись понял даже как..через кривую форму на сайте(((

"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:23

>[оверквотинг удален]
>>>
>>>Best Regards,
>>
>>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>его отправил, затем localhost его получил. Система однозначно взломана
>>
>>Файл /var/log/auth смотри так же
>
>Да кажись понял даже как..через кривую форму на сайте(((
PHP поди? :)

"Или вот"
Отправлено Apossum , 15-Авг-08 13:25

>[оверквотинг удален]
>>>
>>>Блин, сразу не заметил. Милок, да у тебя похоже пользователь с id
>>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>>его отправил, затем localhost его получил. Система однозначно взломана
>>>
>>>Файл /var/log/auth смотри так же
>>
>>Да кажись понял даже как..через кривую форму на сайте(((
>
>PHP поди? :)
ну да)

"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:26

>[оверквотинг удален]
>>>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>>>его отправил, затем localhost его получил. Система однозначно взломана
>>>>
>>>>Файл /var/log/auth смотри так же
>>>
>>>Да кажись понял даже как..через кривую форму на сайте(((
>>
>>PHP поди? :)
>
>ну да)
Чини это дело, а то глазом моргнуть не успеешь как уже во всех блек-листах окажешься

"Или вот"
Отправлено Apossum , 15-Авг-08 13:28

>[оверквотинг удален]
>>>>>Файл /var/log/auth смотри так же
>>>>
>>>>Да кажись понял даже как..через кривую форму на сайте(((
>>>
>>>PHP поди? :)
>>
>>ну да)
>
>Чини это дело, а то глазом моргнуть не успеешь как уже во
>всех блек-листах окажешься
Спасибо тебе!!))

"Или вот"
Отправлено tetris , 15-Авг-08 13:30

Вот и разобрались, вот и ладненько :-)

"Или вот"
Отправлено Apossum , 15-Авг-08 13:36

>Вот и разобрались, вот и ладненько :-)
Я думаю тут программера надо за одно место подвесить))

"Или вот"
Отправлено Vitaly_loki , 15-Авг-08 13:39

>>Вот и разобрались, вот и ладненько :-)
>
>Я думаю тут программера надо за одно место подвесить))
Может он и шлет? ;-) Он же знал поди про эту уязвимость

"Или вот"
Отправлено tetris , 15-Авг-08 13:40

>Я думаю тут программера надо за одно место подвесить))
Или одним местом на кол посодить :-)

"Или вот"
Отправлено Apossum , 15-Авг-08 13:45

>>Я думаю тут программера надо за одно место подвесить))
>
>Или одним местом на кол посодить :-)
Наказание -СМЕРТЬ!
приговор вынесен и обжалованию не подлежит!

"Или вот"
Отправлено BatAn , 25-Авг-08 13:49

>>>Я думаю тут программера надо за одно место подвесить))
>>
>>Или одним местом на кол посодить :-)
>
>Наказание -СМЕРТЬ!
>
>приговор вынесен и обжалованию не подлежит!
у меня таж фигня! мож форму вообще эту форму удалить?

"Или вот"
Отправлено BatAn , 25-Авг-08 15:34

>[оверквотинг удален]
>>>>65534 шлет этот спам. Backdoor? Или пароль знают для ssh? Он
>>>>его отправил, затем localhost его получил. Система однозначно взломана
>>>>
>>>>Файл /var/log/auth смотри так же
>>>
>>>Да кажись понял даже как..через кривую форму на сайте(((
>>
>>PHP поди? :)
>
>ну да)
кривая форма удалена, а письма от nobody продолжают лезть! Чё делать, помогите!!!!