форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"qmail рассылка спама"
Сообщение от visitor (ok) on 29-Дек-04, 16:37  (MSK)
Здравствуйте. Возникла следующая ситуация. в маиллоге вижу очень большое число записей, типа: info msg 313089: bytes 1357 from <anonymous@myhost.com> qp 51138 uid 65534 824 end msg 307581 159 new msg 307707 546 info msg 307707: bytes 1347 from <anonymous@myhost.com> qp 51180 uid 65534 452 starting delivery 12184: msg 309214 to remote davidjbm@uol.com.br 776 status: local 0/10 remote 13/20 696 end msg 308777 442 delivery 12165: success: 69.93.70.82_accepted_message./Remote_host_said:_25 ... адреса на которые шлются письма от anonymous@myhost.com все разные и их очень много. я как понимаю этим занимается какой-нибудь виртуальщик из своего cgi или php скрипта. В итоге получаю следующую картину: /var/qmail/bin/qmail-qstat messages in queue: 93989 messages in queue but not yet preprocessed: 60886 картина ужасная. почта не отправляется, не принимается. Подскажите каким образом можно выщемить эту скатину? Может какими-нибудь средствами апача можно отследить какой скрипт интенсивно шлет мыло? или средствами системы (FreeBSD 5.3) ? Поможет ли в этом случаи создание файла badmailfrom (с внесенной в него записью anonymous@myhost.com) в /var/qmail/control ? Может кто сталкивался с подобным? Заранее спасибо.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "qmail рассылка спама"
Сообщение от Sampan on 29-Дек-04, 17:54  (MSK)
>я как понимаю этим занимается какой-нибудь виртуальщик из своего cgi или php скрипта. Это означает, что, из вэб скрипта возможно выполнять qmail-inject? Ты сошел с ума!!! Срочно Арача в chroot! Отправка почты только через tcp socket (25 порт)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "qmail рассылка спама"
	Сообщение от Sampan on 29-Дек-04, 18:03  (MSK)
	А еще срочнее - пройдись по своей системе чистильщиком от rootkit. Огромная вероятность того, что тебя уже поимели :-(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "qmail рассылка спама"
	Сообщение от visitor (ok) on 29-Дек-04, 23:53  (MSK)
	>А еще срочнее - пройдись по своей системе чистильщиком от rootkit. Огромная >вероятность того, что тебя уже поимели :-( прошелся по всем тестам - все чисто.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "qmail рассылка спама"
	Сообщение от visitor (ok) on 29-Дек-04, 23:51  (MSK)
	>>я как понимаю этим занимается какой-нибудь виртуальщик из своего cgi или php скрипта. > >Это означает, что, из вэб скрипта возможно выполнять qmail-inject? > да, нет, нельзя. из скрипта вероятно выполняют /usr/bin/mail список_адресов <spam-file >Ты сошел с ума!!! > >Срочно Арача в chroot! Отправка почты только через tcp socket (25 порт) > он так и работает.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "qmail рассылка спама"
	Сообщение от Sampan on 30-Дек-04, 13:31  (MSK)
	>>Срочно Арача в chroot! Отправка почты только через tcp socket (25 порт) >> > >он так и работает. Дык тогда, наверное, нужно убрать RELAYCLIENT с адреса 127.0.0.1 или, если релей все-же необходим, повесить tcpserver на 127.0.0.1 на нестандартном порту и ни кому его не говорить (бог весть какая защита, но - все-же...)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "qmail рассылка спама"
Сообщение от visitor (ok) on 29-Дек-04, 23:56  (MSK)
вырубил qmail, почистил скриптом всю очередь, запустил qmail, пока рассылки нету, гада так и не выщемил. Наверно придется ждать следующего раза и смотреть server-status или в ps рыться, другого способа не знаю...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "qmail рассылка спама"
	Сообщение от Асен Тотин on 31-Дек-04, 18:05  (MSK)
	Привет, Возможный сценарий: юзер хочет, чтоб с его сайта можно было ему отправлять письма, запросы, записи гостевой книги, что угодно. Соответствено, скачивает и запускает первый попавшийся стандартный CGI скрипт для рассылки почты. Спамерам этого и надо. Поищите, например,нет ли у кого из ваших юзеров formmail.cgi (formmail.pl) или что-то подобного. WWell,
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "qmail рассылка спама"
	Сообщение от DogEater (??) on 01-Янв-05, 21:26  (MSK)
	ну и уж совсем дурацкий совет: grep sendmail /homes_of/your_users/* вдруг прокатит?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.