Форум Сайтостроение Администрирование серверов

Рассылают спам с нашего сервера [Qmail]

12
Дмитрий
На сайте с 23.08.2006
Offline
222
Дмитрий
2526

Добрый день

Проблема заключается в том, что кто то из наших клиентов рассылает спам. Одного вычислили по большому исходящему траффику (это было видно в панели плеск), отключили ему почтовую службу, но спам не прекратился :(. Вообщем в плеске еще есть "очередь почтовых сообщений", там отображаются заголовки отправляемых писем. Во всех письмах присутствует заголовок аутлука, наверное клиенты троянов нацепляли. Хочу вычислить клиентов, но незнаю как это сделать.

По логам qmail (нашел тут: /usr/local/psa/var/log/maillog) ничего внятного сказать нельзя:

May 30 04:03:24 vXXXX qmail: 1212105804.656577 starting delivery 98368: msg 90375828 to remote justmslil@bellsouth.net
May 30 04:03:24 vXXXX qmail: 1212105804.656637 status: local 0/10 remote 8/20
May 30 04:03:24 vXXXX qmail-remote-handlers[29854]: Handlers Filter before-remote for qmail started ...
May 30 04:03:24 vXXXX qmail-remote-handlers[29854]: from=esp-refund@taxid7mku14i4.irs.gov
May 30 04:03:24 vXXXX qmail-remote-handlers[29854]: to=justmslil@bellsouth.net
May 30 04:03:25 vXXXX qmail: 1212105805.558532 delivery 98368: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
May 30 04:03:25 vXXXX qmail: 1212105805.558597 status: local 0/10 remote 7/20
May 30 04:03:29 vXXXX qmail: 1212105809.035215 delivery 98352: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
May 30 04:03:29 vXXXX qmail: 1212105809.035265 status: local 0/10 remote 6/20
May 30 04:03:29 vXXXX qmail: 1212105809.065180 starting delivery 98369: msg 90374818 to remote robinspu@ctaz.com
May 30 04:03:29 vXXXX qmail: 1212105809.065210 status: local 0/10 remote 7/20
May 30 04:03:29 vXXXX qmail-remote-handlers[29928]: Handlers Filter before-remote for qmail started ...
May 30 04:03:29 vXXXX qmail-remote-handlers[29928]: from=
May 30 04:03:29 vXXXX qmail-remote-handlers[29928]: to=robinspu@ctaz.com
May 30 04:03:29 vXXXX qmail: 1212105809.408481 delivery 98369: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/

Подскажите пожалуйста, что еще можно сделать?

JonnyB добавил 30.05.2008 в 11:32

Извиняюсь, кажется вопрос все таки не в qmail, а sendmail. Qmail настроен как не open relay, а письма рассылаются не с наших доменов.

На сервере лежат сайты, постороенные на собственноразработанной CMS, WordPress и отдельные скрипты. Как вычислить какой скрипт отсылает сообщения?

Разрабатываю и автоматизирую на php http://jonnyb.ru/
UPL
На сайте с 13.02.2008
Offline
54
UPL
#1
JonnyB:


Подскажите пожалуйста, что еще можно сделать?

Закройте СМТПИ в общее и с локального сервера не чего не отсылайте.

Все только через внешнию авторизацию.

Свой дата-центр, Чехия. Каналы на Россию прямые и летают С2D 40евро 1Гб от 170 евро (http://www.upl.cz/v2/ru/) DiskaNet.ru - хранение файлов в облаке. Партерка -10%, до 15 Гб бесплатно (http://www.diskanet.ru/)
S
На сайте с 07.05.2007
Offline
20
snoopee
#2

Дело все-таки в qmail, дело в том что sendmail там прописан как symlink на qmail для совместимости.

Попробуйте выключить функцию mail() в php.ini и подождать пока кто-нибудь не начнет ругаться, либо сделайте grep на функцию mail() по хомдирам пользователей, какой-то из скриптов определится как подозрительный

Zaqwr
На сайте с 08.08.2007
Offline
111
Zaqwr
#3

каталожку /tmp тоже просмотрите что там есть подозрительного. временные каталожки пользователей отличные от /tmp.

в php.ini

sendmail_path = /usr/sbin/sendmail -t -f user@virtualhost

может ещё вот

http://miracle.wordpress.com/2006/03/13/sendmail-shared-hosting/

http://gregmaclellan.com/blog/sendmail-wrapper/

Администрирование, Linux, Cisco, Juniper
A4
На сайте с 09.08.2007
Offline
55
Alexei42
#4

Если рассылают через php скрипты, можно (нужно) поставить php mail header patch.

Настройка nginx и сопутствующего софта на freebsd/debian. Контакт через PM.
kxk
На сайте с 30.01.2005
Offline
990
kxk
#5

Alexei42, +1 Более того это нужно было делать изначально :)

Ваш DEVOPS
Дмитрий
На сайте с 23.08.2006
Offline
222
Дмитрий
#6

UPL, непонял про что вы(

snoopee, спасибо, как вариант. Единственная сложность - у каждого клиента свой php лог, так что нужно будет по крупицам собирать.

Zaqwr, спасибо за линки. ЧТо-то у меня http://gregmaclellan.com/php/sendmail.phps не заработало( Почта вообще перестала отсылаться..

Alexei42, мне кажется не стоит палить всем попало какой скрипт отсылал письмо, а для отладки самое то. Не совсем понял как инсталить, сейчас разберусь

kxk
На сайте с 30.01.2005
Offline
990
kxk
#7

JonnyB, Там php надо пересобирать из исходников я так понял, http://dedic.ru/node/2 - по русски

Дмитрий
На сайте с 23.08.2006
Offline
222
Дмитрий
#8

Устанавливаю сендмэил враппер, проверяю:

[root@vXXXXX sbin]# ./sendmail_logged
: bad interpreter: No such file or directory

#!/usr/bin/php - такой бинарник есть, запускается..

Что это значит?

JonnyB добавил 30.05.2008 в 14:25

kxk, спасибо за линк, наверное я все таки враппером воспользуюсь. У нас плеск стоит, думаю не буду нарушать всякие зависимости, а то поломацо может :)

kxk
На сайте с 30.01.2005
Offline
990
kxk
#9

JonnyB, Да плеск как винда (необижайтесь) чих пых и оно упало. Пните сисадминов датацентра или тех у кого сервер берёте пусть хоть за деньги сделают им то виднее :).

Zaqwr
На сайте с 08.08.2007
Offline
111
Zaqwr
#10
JonnyB:
: bad interpreter: No such file or directory

значит нет!

ls -la /usr/bin/php

поищите

which php(4/5)

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий