forum.opennet.ru - "Postfix: атака?" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Postfix: атака?"

Форум Открытые системы на сервере (Почта / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Postfix: атака?"	+/–
Сообщение от TheOrange (ok) on 03-Авг-12, 13:09
Друзья, прошу вашей помощи! В последние несколько дней наблюдаю на сервере аномалию, помогите пожалуйста разобраться. Даже и не знаю как описать свою проблему, поэтому просто опишу симптомы. Они такие: 1. В очереди появляется туева хуча сообщений с одинаковым адресом отправителя и получателя, причём домены, как вы можете видеть абсолютно разные и само собой не мои). Пример вывода mailq: 05F3525CC62 1012 Thu Aug 2 10:08:15 webmaster@vainnow.com webmaster@vainnow.com 1F19C25662B 1371 Thu Aug 2 10:08:17 sarkis.63@mail.ru sarkis.63@mail.ru 2890F25A18C 974 Thu Aug 2 10:08:15 sasha_f@inbox.ru sasha_f@inbox.ru 37EB225CC64 1738 Thu Aug 2 10:08:17 webmaster@medhomepage.de webmaster@medhomepage.de 2. Сообщения эти валятся в очередь с дикой скоростью забивая почти все мощности сервера. 3. netstat -a, в свою очередь показывает следующее: tcp4 0 0 myhost.12142 mail.arhipelag.r.smtp SYN_SENT tcp4 0 0 myhost.12124 bay0-mc3-f.bay0..smtp SYN_SENT tcp4 0 0 myhost.12106 arashan.com.kg.smtp SYN_SENT tcp4 0 0 myhost.12014 mail03.dd24.net.smtp SYN_SENT tcp4 0 0 myhost.11913 lb-in-f191.1e100.smtp SYN_SENT tcp4 0 0 myhost.11866 host-193-107-68-.smtp SYN_SENT 4. Миллионы строк вывода tcpdump 'tcp[13] & 0xff = 2': 14:34:27.236259 IP myhost.ru.51032 > mx1.gmx.net.smtp: Flags [S], seq 1407766072, win 65535, options [mss 1460,sackOK,eol], length 0 14:34:27.415317 IP myhost.ru.50747 > bay0-mc1-f.bay0.hotmail.com.smtp: Flags [S], seq 3238822165, win 65535, options [mss 1460,sackOK,eol], length 0 14:34:27.564290 IP myhost.ru.51054 > mta-v4.mail.vip.mud.yahoo.com.smtp: Flags [S], seq 199277656, win 65535, options [mss 1460,sackOK,eol], length 0 14:34:27.672312 IP myhost.ru.51062 > mta-v1.sbc.mail.vip.ne1.yahoo.com.smtp: Flags [S], seq 1516390968, win 65535, options [mss 1460,sackOK,eol], length 0 14:34:27.680325 IP myhost.ru.51063 > mxl145v3.mxlogic.net.smtp: Flags [S], seq 307880678, win 65535, options [mss 1460,sackOK,eol], length 0 Соответственно я уже попал во всевозможные грэй и блак листы. Я полагаю, что гдето в настройках постфикса у меня косяк, раз какие-то левые адреса могут подсаживать мне такого рода сообщения. Куда смотреть, как бороться, что делать??? :o Заранее благодарен.
Ответить \| Правка \| Cообщить модератору

Оглавление

Postfix: атака?, Аноним, 13:20 , 03-Авг-12, (1)
Postfix: атака?, Etch, 19:30 , 03-Авг-12, (2)

Postfix: атака?, ALex_hha, 19:37 , 03-Авг-12, (3)

Postfix: атака?, Etch, 01:16 , 04-Авг-12, (7)

Postfix: атака?, user, 13:12 , 04-Авг-12, (9) –1

Postfix: атака?, Etch, 14:54 , 04-Авг-12, (10)

Postfix: атака?, кегна, 20:38 , 03-Авг-12, (4)

Postfix: атака?, Дядя_Федор, 22:13 , 03-Авг-12, (5) –1

Postfix: атака?, кегна, 23:08 , 03-Авг-12, (6) +1

Postfix: атака?, Дядя_Федор, 09:47 , 04-Авг-12, (8) –1

Сообщения по теме [Сортировка по времени | RSS]

1. "Postfix: атака?" +/–

Сообщение от Аноним (??) on 03-Авг-12, 13:20

>[оверквотинг удален]
> 14:34:27.672312 IP myhost.ru.51062 > mta-v1.sbc.mail.vip.ne1.yahoo.com.smtp: Flags
> [S], seq 1516390968, win 65535, options [mss 1460,sackOK,eol], length 0
> 14:34:27.680325 IP myhost.ru.51063 > mxl145v3.mxlogic.net.smtp: Flags [S], seq 307880678,
> win 65535, options [mss 1460,sackOK,eol], length 0
>
> Соответственно я уже попал во всевозможные грэй и блак листы.
> Я полагаю, что гдето в настройках постфикса у меня косяк, раз какие-то
> левые адреса могут подсаживать мне такого рода сообщения.
> Куда смотреть, как бороться, что делать???  :o
> Заранее благодарен.
Похоже у Вас машина в сети завирусована.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Postfix: атака?" +/–

Сообщение от Etch on 03-Авг-12, 19:30

Либо у вас постфикс настроен как open relay, либо, как уже сказали выше, кто-то из доверенной сети подхватил вирус. Отключите постфикс и внимательно читайте логи в спокойной обстановке. В логах увидите откуда берутся эти письма и сможете принять соответствующие меры.
И на будущее для избежания подобных проблем - настройте обязательную авторизацию (чтобы для не авторизованных клиентов релей был запрещён, т.е. никаких доверенных сетей); поставьте запрет на отправку писем от неизвестных отправителей.
У меня в master.cf прописано такое:
smtps     inet  n       -       y       -       50       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=
  -o smtpd_sender_restrictions=reject_unlisted_sender,permit_sasl_authenticated,reject
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
  -o smtpd_client_connection_count_limit=2
  -o smtpd_client_port_logging=yes
и все отправляют только по smtps (порт 465).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Postfix: атака?" +/–

Сообщение от ALex_hha (ok) on 03-Авг-12, 19:37

> и все отправляют только по smtps (порт 465).
проблему особо не решит, лишь поможет найти виновника, так как сейчас вирусня спокойно крадет сохраненные пароли из почтовых программ

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Postfix: атака?" +/–

Сообщение от Etch on 04-Авг-12, 01:16

>> и все отправляют только по smtps (порт 465).
> проблему особо не решит, лишь поможет найти виновника, так как сейчас вирусня
> спокойно крадет сохраненные пароли из почтовых программ
Не каждая вирусня это умеет, и почтовые программы бывают разные - от самых распространённых может и своруют, а для редких заморачиваться не станут. К тому же можно ещё защититься мастер-паролем, а под линуксом - selinux/apparmor.
Да и смысл тут в основном в том, что для отдельного порта можно указать отдельные ограничения: reject_unlisted_sender, smtpd_client_connection_*_limit и т.п., а это уже существенно снизит отрицательный эффект от подобных случаев.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Postfix: атака?" –1 +/–

Сообщение от user (??) on 04-Авг-12, 13:12

>[оверквотинг удален]
>> проблему особо не решит, лишь поможет найти виновника, так как сейчас вирусня
>> спокойно крадет сохраненные пароли из почтовых программ
> Не каждая вирусня это умеет, и почтовые программы бывают разные - от
> самых распространённых может и своруют, а для редких заморачиваться не станут.
> К тому же можно ещё защититься мастер-паролем, а под линуксом -
> selinux/apparmor.
> Да и смысл тут в основном в том, что для отдельного порта
> можно указать отдельные ограничения: reject_unlisted_sender, smtpd_client_connection_*_limit
> и т.п., а это уже существенно снизит отрицательный эффект от подобных
> случаев.
Вы знаете, не обязательно настраивать smtps. Вполне хватает "повесить" почтовик на нестандартный порт (например 26).

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Postfix: атака?" +/–

Сообщение от Etch on 04-Авг-12, 14:54

Это уже на любителя, и не каждый клиент, IIRC, легко настроить на нестандартный порт. К тому же, лично я предпочитаю чтобы письма 100% отправлялись по защищённому каналу. Заодно неплохо бы настроить STARTTLS, чтобы письма между серверами передавались также в зашифрованном виде (если удалённый сервер это поддерживает).

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

4. "Postfix: атака?" +/–

Сообщение от кегна on 03-Авг-12, 20:38

>[оверквотинг удален]
> 14:34:27.672312 IP myhost.ru.51062 > mta-v1.sbc.mail.vip.ne1.yahoo.com.smtp: Flags
> [S], seq 1516390968, win 65535, options [mss 1460,sackOK,eol], length 0
> 14:34:27.680325 IP myhost.ru.51063 > mxl145v3.mxlogic.net.smtp: Flags [S], seq 307880678,
> win 65535, options [mss 1460,sackOK,eol], length 0
>
> Соответственно я уже попал во всевозможные грэй и блак листы.
> Я полагаю, что гдето в настройках постфикса у меня косяк, раз какие-то
> левые адреса могут подсаживать мне такого рода сообщения.
> Куда смотреть, как бороться, что делать???  :o
> Заранее благодарен.
1. посмотреть mailq на предмет таких сообщений в очереди. выбрать пару реципиентов.
2. cat /var/log/maillog | grep один из адресов из пункта 1 (вычислить ID письма)
3. car /var/log/maillog | grep ID из пункта 2
там будет видно откуда коннект.
ну собственно дальше пойти и надавать хозяину ИП адреса (если он в вашей сети))))
если нет - значит вы опенрелей с чем я вас и поздравляю )

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Postfix: атака?" –1 +/–

Сообщение от Дядя_Федор on 03-Авг-12, 22:13

> 2. cat /var/log/maillog | grep один из адресов из пункта 1 (вычислить
> ID письма)
> 3. car /var/log/maillog | grep ID из пункта 2
> там будет видно откуда коннект.
postcat -q ID_письма (можно - |less) уже не модно использовать? :) Есть еще утилитка pfqueue для работы с очередью. Есть еще postsuper - например postsuper -D ALL прибьет все письма в очередь. postsuper -D ID - прибьет конкретное письмо.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Postfix: атака?" +1 +/–

Сообщение от кегна on 03-Авг-12, 23:08

>> 2. cat /var/log/maillog | grep один из адресов из пункта 1 (вычислить
>> ID письма)
>> 3. cat /var/log/maillog | grep ID из пункта 2
>> там будет видно откуда коннект.
>  postcat -q ID_письма (можно - |less) уже не модно использовать? :)
> Есть еще утилитка pfqueue для работы с очередью. Есть еще postsuper
> - например postsuper -D ALL прибьет все письма в очередь. postsuper
> -D ID - прибьет конкретное письмо.
Мил человек, скажи какой смысл в твоем посте?
это понятно что комманд вагон, и с логами unix-like ОС можно работать всем начиная от awk и заканчивая всякими вашими postcat итд...
Что от этого изменится? Главное что б человек понял что и где, а как это искать дело уже последней важности .
А так да, я видео в ютубе через wget less-ом смотрю))))

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Postfix: атака?" –1 +/–

Сообщение от Дядя_Федор on 04-Авг-12, 09:47

> Мил человек, скажи какой смысл в твоем посте?
> это понятно что комманд вагон, и с логами unix-like ОС можно работать
> всем начиная от awk и заканчивая всякими вашими postcat итд...
Смысл моего поста в том, что то, что Вы описали - решается двумя единственными командами - maiq и postcat. Без прибегания к "костылям", в виде грепа по логам. Которое тоже, конечно, нужно - но не в данном конкретном случае, когда письмо из очереди еще не ушло.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Postfix: атака?"	+/–
Сообщение от Аноним (??) on 03-Авг-12, 13:20
>[оверквотинг удален] > 14:34:27.672312 IP myhost.ru.51062 > mta-v1.sbc.mail.vip.ne1.yahoo.com.smtp: Flags > [S], seq 1516390968, win 65535, options [mss 1460,sackOK,eol], length 0 > 14:34:27.680325 IP myhost.ru.51063 > mxl145v3.mxlogic.net.smtp: Flags [S], seq 307880678, > win 65535, options [mss 1460,sackOK,eol], length 0 > > Соответственно я уже попал во всевозможные грэй и блак листы. > Я полагаю, что гдето в настройках постфикса у меня косяк, раз какие-то > левые адреса могут подсаживать мне такого рода сообщения. > Куда смотреть, как бороться, что делать??? :o > Заранее благодарен. Похоже у Вас машина в сети завирусована.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Postfix: атака?"	+/–
Сообщение от Etch on 03-Авг-12, 19:30
Либо у вас постфикс настроен как open relay, либо, как уже сказали выше, кто-то из доверенной сети подхватил вирус. Отключите постфикс и внимательно читайте логи в спокойной обстановке. В логах увидите откуда берутся эти письма и сможете принять соответствующие меры. И на будущее для избежания подобных проблем - настройте обязательную авторизацию (чтобы для не авторизованных клиентов релей был запрещён, т.е. никаких доверенных сетей); поставьте запрет на отправку писем от неизвестных отправителей. У меня в master.cf прописано такое: smtps inet n - y - 50 smtpd -o smtpd_tls_wrappermode=yes -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions= -o smtpd_sender_restrictions=reject_unlisted_sender,permit_sasl_authenticated,reject -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject -o smtpd_client_connection_count_limit=2 -o smtpd_client_port_logging=yes и все отправляют только по smtps (порт 465).
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Postfix: атака?"	+/–
	Сообщение от ALex_hha (ok) on 03-Авг-12, 19:37
	> и все отправляют только по smtps (порт 465). проблему особо не решит, лишь поможет найти виновника, так как сейчас вирусня спокойно крадет сохраненные пароли из почтовых программ
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	7. "Postfix: атака?"	+/–
	Сообщение от Etch on 04-Авг-12, 01:16
	>> и все отправляют только по smtps (порт 465). > проблему особо не решит, лишь поможет найти виновника, так как сейчас вирусня > спокойно крадет сохраненные пароли из почтовых программ Не каждая вирусня это умеет, и почтовые программы бывают разные - от самых распространённых может и своруют, а для редких заморачиваться не станут. К тому же можно ещё защититься мастер-паролем, а под линуксом - selinux/apparmor. Да и смысл тут в основном в том, что для отдельного порта можно указать отдельные ограничения: reject_unlisted_sender, smtpd_client_connection_*_limit и т.п., а это уже существенно снизит отрицательный эффект от подобных случаев.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	9. "Postfix: атака?"	–1 +/–
	Сообщение от user (??) on 04-Авг-12, 13:12
	>[оверквотинг удален] >> проблему особо не решит, лишь поможет найти виновника, так как сейчас вирусня >> спокойно крадет сохраненные пароли из почтовых программ > Не каждая вирусня это умеет, и почтовые программы бывают разные - от > самых распространённых может и своруют, а для редких заморачиваться не станут. > К тому же можно ещё защититься мастер-паролем, а под линуксом - > selinux/apparmor. > Да и смысл тут в основном в том, что для отдельного порта > можно указать отдельные ограничения: reject_unlisted_sender, smtpd_client_connection_*_limit > и т.п., а это уже существенно снизит отрицательный эффект от подобных > случаев. Вы знаете, не обязательно настраивать smtps. Вполне хватает "повесить" почтовик на нестандартный порт (например 26).
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "Postfix: атака?"	+/–
	Сообщение от Etch on 04-Авг-12, 14:54
	Это уже на любителя, и не каждый клиент, IIRC, легко настроить на нестандартный порт. К тому же, лично я предпочитаю чтобы письма 100% отправлялись по защищённому каналу. Заодно неплохо бы настроить STARTTLS, чтобы письма между серверами передавались также в зашифрованном виде (если удалённый сервер это поддерживает).
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору

4. "Postfix: атака?"	+/–
Сообщение от кегна on 03-Авг-12, 20:38
>[оверквотинг удален] > 14:34:27.672312 IP myhost.ru.51062 > mta-v1.sbc.mail.vip.ne1.yahoo.com.smtp: Flags > [S], seq 1516390968, win 65535, options [mss 1460,sackOK,eol], length 0 > 14:34:27.680325 IP myhost.ru.51063 > mxl145v3.mxlogic.net.smtp: Flags [S], seq 307880678, > win 65535, options [mss 1460,sackOK,eol], length 0 > > Соответственно я уже попал во всевозможные грэй и блак листы. > Я полагаю, что гдето в настройках постфикса у меня косяк, раз какие-то > левые адреса могут подсаживать мне такого рода сообщения. > Куда смотреть, как бороться, что делать??? :o > Заранее благодарен. 1. посмотреть mailq на предмет таких сообщений в очереди. выбрать пару реципиентов. 2. cat /var/log/maillog \| grep один из адресов из пункта 1 (вычислить ID письма) 3. car /var/log/maillog \| grep ID из пункта 2 там будет видно откуда коннект. ну собственно дальше пойти и надавать хозяину ИП адреса (если он в вашей сети)))) если нет - значит вы опенрелей с чем я вас и поздравляю )
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Postfix: атака?"	–1 +/–
	Сообщение от Дядя_Федор on 03-Авг-12, 22:13
	> 2. cat /var/log/maillog \| grep один из адресов из пункта 1 (вычислить > ID письма) > 3. car /var/log/maillog \| grep ID из пункта 2 > там будет видно откуда коннект. postcat -q ID_письма (можно - \|less) уже не модно использовать? :) Есть еще утилитка pfqueue для работы с очередью. Есть еще postsuper - например postsuper -D ALL прибьет все письма в очередь. postsuper -D ID - прибьет конкретное письмо.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Postfix: атака?"	+1 +/–
	Сообщение от кегна on 03-Авг-12, 23:08
	>> 2. cat /var/log/maillog \| grep один из адресов из пункта 1 (вычислить >> ID письма) >> 3. cat /var/log/maillog \| grep ID из пункта 2 >> там будет видно откуда коннект. > postcat -q ID_письма (можно - \|less) уже не модно использовать? :) > Есть еще утилитка pfqueue для работы с очередью. Есть еще postsuper > - например postsuper -D ALL прибьет все письма в очередь. postsuper > -D ID - прибьет конкретное письмо. Мил человек, скажи какой смысл в твоем посте? это понятно что комманд вагон, и с логами unix-like ОС можно работать всем начиная от awk и заканчивая всякими вашими postcat итд... Что от этого изменится? Главное что б человек понял что и где, а как это искать дело уже последней важности . А так да, я видео в ютубе через wget less-ом смотрю))))
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. "Postfix: атака?"	–1 +/–
	Сообщение от Дядя_Федор on 04-Авг-12, 09:47
	> Мил человек, скажи какой смысл в твоем посте? > это понятно что комманд вагон, и с логами unix-like ОС можно работать > всем начиная от awk и заканчивая всякими вашими postcat итд... Смысл моего поста в том, что то, что Вы описали - решается двумя единственными командами - maiq и postcat. Без прибегания к "костылям", в виде грепа по логам. Которое тоже, конечно, нужно - но не в данном конкретном случае, когда письмо из очереди еще не ушло.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору