Добрый день!

Сервер на Debian GNU/Linux 5.0.6 (lenny) был взломан и теперь Postfix занимается рассылкой спама в огромных количествах.

За 12 часов логи вырастают до 400 Мб:

63C821A70C5 665 Thu May 16 00:57:06 maryellen_knight@mydomain.ru (delivery temporarily suspended: host mta5.am0.yahoodns.net[98.136.216.25] refused to talk to me: 421 4.7.0 [TS01] Messages from myIP temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html) exctme@yahoo.com

6F870BDD96 683 Thu May 16 04:58:11 priscilla_stein@mydomain.ru (host mailstore1.secureserver.net[72.167.238.29] refused to talk to me: 554 p3plibsmtp01-05.prod.phx3.secureserver.net bizsmtp Connection refused. IB111) network@mediterraneobrickell.com

6C377147A2A 650 Wed May 15 22:23:26 jacqueline_holder@mydomain.ru (delivery temporarily suspended: connect to hotmail.co[65.55.39.12]:25: Connection timed out) gareth_edwards147@hotmail.co

68CD1BF53D 639 Thu May 16 06:47:15 irma_nunez@mydomain.ru (delivery temporarily suspended: host mta6.am0.yahoodns.net[98.136.217.203] refused to talk to me: 421 4.7.0 [TS01] Messages from myIP temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html) damilarerapheal@yahoo.com

в очереди на отправку 52314 писем.

Clamav и rkhunter ничего не нашли.

На данный момент Postfix остановлен, но очередь писем все равно растет.

Как отследить кто/что генерирует и рассылает спам и как это остановить?

• postfix сильно спамит,Аноним, 12:20 , 16-Май-13
• postfix сильно спамит,Аноним, 13:21 , 16-Май-13
• postfix сильно спамит,VM, 19:11 , 16-Май-13
  • postfix сильно спамит,PavelR, 08:02 , 17-Май-13
    • postfix сильно спамит,ALex_hha, 21:22 , 21-Май-13
• postfix сильно спамит,ALex_hha, 21:21 , 21-Май-13

Позвать стороннего специалиста, который разбирается в дебиан и постфикс. Обратиться к нему с просьбой переустановить сервер и провести аудит инфраструктуры.

Это серьезный совет. Если вы не видите, откуда берется спам - значит, ваших знаний не хватит. Нужно проделать много шагов - например, полностью отключить сервер от сети, проверить контрольные суммы бинарников с помощью менеджера пакетов, провести аудит логов. Обязательно выяснить общую картину инцидента. И поднять сервер с нуля. Лучше всего виртуальный.

Можно попробовать загрузиться с LiveCD(USB) спецдистрибутивы для аудита безопасности.

> Сервер . . . был взломан и теперь Postfix занимается
> рассылкой спама в огромных количествах.

Если не хотите долго и нудно упрашивать дежартелей "черных списков"
исключить ваш внешний IP
советую первым делом отключить сервер от Inet-а

На подмену -- из backup-а или чуть ли не заново установить с нуля

>> Сервер . . . был взломан и теперь Postfix занимается
>> рассылкой спама в огромных количествах.
>  Если не хотите долго и нудно упрашивать дежартелей "черных списков"
> исключить ваш внешний IP
> советую первым делом отключить сервер от Inet-а
>  На подмену -- из backup-а или чуть ли не заново установить
> с нуля

не чуть ли, а заново установить - в обязательном порядке.

>>> Сервер . . . был взломан и теперь Postfix занимается
>>> рассылкой спама в огромных количествах.
>>  Если не хотите долго и нудно упрашивать дежартелей "черных списков"
>> исключить ваш внешний IP
>> советую первым делом отключить сервер от Inet-а
>>  На подмену -- из backup-а или чуть ли не заново установить
>> с нуля
> не чуть ли, а заново установить - в обязательном порядке.

круто, но как правило помогает в среде windows ;)

Настройки postfix покажи

postconf -n

есть ли на сервере веб сайты?