URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95578
[ Назад ]

Исходное сообщение
"Проблема с postfix. Одолели спамеры."
Отправлено KPD , 22-Апр-14 22:04

Операционная система Debian 6.0
Сервер используется в качестве вебсервера
Мейл сервер: Postfix version 2.7.1
Собственно говоря с ним то и возникла проблема.
Недавно хостер прислал мне предупреждение что с моего сервера идёт рассылка спама, и действительно зйядя в Вебмин в конфиг Постфикса я увидел что дико растёт очередь Mail Queue. В ней куча непонятных писем, которые отправлены якобы от имени одного из сайтов которые размещены на этом сервере. Причем почтовых ящиков от которых якобы производится рассылка я естественно не создавал и их вообщем то и не заведено.
Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил, но очередь сообщений всё равно растёт (переодически чищу её)

Содержание

Проблема с postfix. Одолели спамеры.,Sabakwaka, 22:36 , 22-Апр-14
- Проблема с postfix. Одолели спамеры.,KPD, 22:42 , 22-Апр-14
  - Проблема с postfix. Одолели спамеры.,Филимон Покушал, 22:49 , 22-Апр-14
    - Проблема с postfix. Одолели спамеры.,upf, 09:33 , 23-Апр-14
      - Проблема с postfix. Одолели спамеры.,upf, 09:36 , 23-Апр-14
    - Проблема с postfix. Одолели спамеры.,ALex_hha, 16:48 , 24-Апр-14
Проблема с postfix. Одолели спамеры.,asavah, 01:32 , 23-Апр-14

Сообщения в этом обсуждении

"Проблема с postfix. Одолели спамеры."
Отправлено Sabakwaka , 22-Апр-14 22:36

> Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что
> генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил,
> но очередь сообщений всё равно растёт (переодически чищу её)
Что за «сервер»? У кого есть консольный вход? Только у вас? Кто, кроме вас самого, использует его в качестве вебсервера и имеет, соответственно, апачи-мапачи?
По фотографии от алкоголизма не лечим.

"Проблема с postfix. Одолели спамеры."
Отправлено KPD , 22-Апр-14 22:42

>> Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что
>> генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил,
>> но очередь сообщений всё равно растёт (переодически чищу её)
> Что за «сервер»? У кого есть консольный вход? Только у вас? Кто,
> кроме вас самого, использует его в качестве вебсервера и имеет, соответственно,
> апачи-мапачи?
> По фотографии от алкоголизма не лечим.
Только я.
Оба сайта что там крутятся мои.
Что ещё меня удивляет так это то что постфикс настроен на домен одного сайта, ну и MX запись есть только у него, но спам рассылают от имени второго сайта.
вот например
это взял из очереди сообщений. за 30 минут там прибавилось 3000 сообщений! :(
    001FF167200    2014/04/22 18:09    tina_lynch@pkuneev.ru    namrehs102@aol.com    580 bytes
    00250166D45    2014/04/22 17:49    elisa_sherman@pkuneev.ru    mann1107@yahoo.com    615 bytes
    002C5166DFB    2014/04/22 17:50    therese_nicholson@pkuneev.ru    lbeputt@aol.com    616 bytes

"Проблема с postfix. Одолели спамеры."
Отправлено Филимон Покушал , 22-Апр-14 22:49

php можно установить с патчем, который будет говорить какой именно скрипт почту шлёт. Как на линуксах не знаю, на FreeBSD это просто опция компиляции

"Проблема с postfix. Одолели спамеры."
Отправлено upf , 23-Апр-14 09:33

> php можно установить с патчем, который будет говорить какой именно скрипт почту
> шлёт. Как на линуксах не знаю, на FreeBSD это просто опция
> компиляции
проще в php.ini запретить функции типа mail* и еже с ним, но это конечно не спасет если через дыру в движке получают консоль ...
но у автора похоже, судя по манере задавать вопросы, понятия нет что где искать и как вообще все работает в принципе - так что по фото тут не полечишь как писали выше ))

"Проблема с postfix. Одолели спамеры."
Отправлено upf , 23-Апр-14 09:36

автор для сваво почтаря даже реверс не удосужился прописать ...

"Проблема с postfix. Одолели спамеры."
Отправлено ALex_hha , 24-Апр-14 16:48

> php можно установить с патчем, который будет говорить какой именно скрипт почту
> шлёт. Как на линуксах не знаю, на FreeBSD это просто опция
> компиляции
на нормальных ОС достаточно включить соотв опцию в php.ini ;)

"Проблема с postfix. Одолели спамеры."
Отправлено asavah , 23-Апр-14 01:32

млин, ну кто таким как вы сервера в руки даёт ...
ну логи то хоть грепать умеете???
1. грепаем/смотрим логи постфикса - на предмет "с какого ИП прилетает зараза в очередь"
- if localhost || 127.0.0.1 -> 99% дыра в скрипте пхп, или каком то вордпрессе/джумле итп, переходим к пункту 2
- else -> то есть письмо приходит с левого белого ИП - тут дыра в настройках relay и/или авторизации самого постфикса, возможен вариант с подставой from || reply-to и несуществующим пользователем, чтобы баунс ушёл "куда надо". Короче смотреть сам постфикс.
2. Если дыра в пыхапе и/или модном фрэймворке -> грепаем/смотрим логи апача/нджинкса, ищем левую хрень. Обновляем пхп (если нужно) или убираем всю срань или фиксим индусский код в скрипте или патчим модный фрэймворк.
ЗЫ: чтоб получить нормальный ответ надо задавать нормально вопросы. Где нужные куски логов и конфигов? Как правильно сказал один из предыдущих ораторов:
>По фотографии от алкоголизма не лечим.
ЗЫЗЫ тут насчёт флага товарищ тоже прав - в дебиане и убунте он по умолчанию включён, ищем в заголовках писем "X-PHP-Originating-Script:"