URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95578
[ Назад ]

Исходное сообщение
"Проблема с postfix. Одолели спамеры."

Отправлено KPD , 22-Апр-14 22:04 
Операционная система Debian 6.0
Сервер используется в качестве вебсервера
Мейл сервер: Postfix version 2.7.1

Собственно говоря с ним то и возникла проблема.
Недавно хостер прислал мне предупреждение что с моего сервера идёт рассылка спама, и действительно зйядя в Вебмин в конфиг Постфикса я увидел что дико растёт очередь Mail Queue. В ней куча непонятных писем, которые отправлены якобы от имени одного из сайтов которые размещены на этом сервере. Причем почтовых ящиков от которых якобы производится рассылка я естественно не создавал и их вообщем то и не заведено.

Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил, но очередь сообщений всё равно растёт (переодически чищу её)


Содержание

Сообщения в этом обсуждении
"Проблема с postfix. Одолели спамеры."
Отправлено Sabakwaka , 22-Апр-14 22:36 
> Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что
> генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил,
> но очередь сообщений всё равно растёт (переодически чищу её)

Что за «сервер»? У кого есть консольный вход? Только у вас? Кто, кроме вас самого, использует его в качестве вебсервера и имеет, соответственно, апачи-мапачи?
По фотографии от алкоголизма не лечим.


"Проблема с postfix. Одолели спамеры."
Отправлено KPD , 22-Апр-14 22:42 
>> Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что
>> генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил,
>> но очередь сообщений всё равно растёт (переодически чищу её)
> Что за «сервер»? У кого есть консольный вход? Только у вас? Кто,
> кроме вас самого, использует его в качестве вебсервера и имеет, соответственно,
> апачи-мапачи?
> По фотографии от алкоголизма не лечим.

Только я.
Оба сайта что там крутятся мои.
Что ещё меня удивляет так это то что постфикс настроен на домен одного сайта, ну и MX запись есть только у него, но спам рассылают от имени второго сайта.

вот например

это взял из очереди сообщений. за 30 минут там прибавилось 3000 сообщений! :(

    001FF167200    2014/04/22 18:09    tina_lynch@pkuneev.ru    namrehs102@aol.com    580 bytes    
    00250166D45    2014/04/22 17:49    elisa_sherman@pkuneev.ru    mann1107@yahoo.com    615 bytes    
    002C5166DFB    2014/04/22 17:50    therese_nicholson@pkuneev.ru    lbeputt@aol.com    616 bytes


"Проблема с postfix. Одолели спамеры."
Отправлено Филимон Покушал , 22-Апр-14 22:49 
php можно установить с патчем, который будет говорить какой именно скрипт почту шлёт. Как на линуксах не знаю, на FreeBSD это просто опция компиляции

"Проблема с postfix. Одолели спамеры."
Отправлено upf , 23-Апр-14 09:33 
> php можно установить с патчем, который будет говорить какой именно скрипт почту
> шлёт. Как на линуксах не знаю, на FreeBSD это просто опция
> компиляции

проще в php.ini запретить функции типа mail* и еже с ним, но это конечно не спасет если через дыру в движке получают консоль ...
но у автора похоже, судя по манере задавать вопросы, понятия нет что где искать и как вообще все работает в принципе - так что по фото тут не полечишь как писали выше ))


"Проблема с postfix. Одолели спамеры."
Отправлено upf , 23-Апр-14 09:36 
автор для сваво почтаря даже реверс не удосужился прописать ...

"Проблема с postfix. Одолели спамеры."
Отправлено ALex_hha , 24-Апр-14 16:48 
> php можно установить с патчем, который будет говорить какой именно скрипт почту
> шлёт. Как на линуксах не знаю, на FreeBSD это просто опция
> компиляции

на нормальных ОС достаточно включить соотв опцию в php.ini ;)


"Проблема с postfix. Одолели спамеры."
Отправлено asavah , 23-Апр-14 01:32 
млин, ну кто таким как вы сервера в руки даёт ...
ну логи то хоть грепать умеете???

1. грепаем/смотрим логи постфикса - на предмет "с какого ИП прилетает зараза в очередь"
- if localhost || 127.0.0.1 -> 99% дыра в скрипте пхп, или каком то вордпрессе/джумле итп, переходим к пункту 2
- else -> то есть письмо приходит с левого белого ИП - тут дыра в настройках relay и/или авторизации самого постфикса, возможен вариант с подставой from || reply-to и несуществующим пользователем, чтобы баунс ушёл "куда надо". Короче смотреть сам постфикс.

2. Если дыра в пыхапе и/или модном фрэймворке -> грепаем/смотрим логи апача/нджинкса, ищем левую хрень. Обновляем пхп (если нужно) или убираем всю срань или фиксим индусский код в скрипте или патчим модный фрэймворк.

ЗЫ: чтоб получить нормальный ответ надо задавать нормально вопросы. Где нужные куски логов и конфигов? Как правильно сказал один из предыдущих ораторов:

>По фотографии от алкоголизма не лечим.

ЗЫЗЫ тут насчёт флага товарищ тоже прав - в дебиане и убунте он по умолчанию включён, ищем в заголовках писем "X-PHP-Originating-Script:"