С сервера рассылают - как запретить? - Администрирование серверов - Сайтостроение

22

georgyd

12 апреля 2010, 06:43

7033

Панель ISPmanager

Почтовый сервер (SMTP): sendmail

На сервере лежит несколько сайтов, почтой вообще не пользуюсь, т.е. даже нет созданных почтовых акаунтов. Недавно заметил увеличение потребления трафика. Начал анализировать логи, и обнаружил, что лог var/log/mail забит письмами, которые мной никогда не отправлялись. Причем ежедневно отправляется еще под 10-50к писем.

Сервер проверен антивирусом и вручную, никаких вредоносных скриптов не обнаружено. Пользователь только 1 - я, так что рассылка другими пользователями исключена. Пробовал отключать sendmail через интерфейс ISPmanager - не помогло, рассылка спама продолжилась.

Как можно прихлопнуть рассылку такого спама?

Вот кусок лога:

Apr 10 12:28:58 v17226 sendmail[11988]: o3B8SwQS011988: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110828.o3B8SwQS011988@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:28:59 v17226 sendmail[11988]: o3B8SwQS011988: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:01, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:00 v17226 sendmail[11995]: o3B8T0Ri011995: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8T0Ri011995@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:00 v17226 sendmail[11995]: o3B8T0Ri011995: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:00 v17226 sendmail[12000]: o3B8T06P012000: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8T06P012000@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:00 v17226 sendmail[12000]: o3B8T06P012000: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:04 v17226 sendmail[12022]: o3B8T4u1012022: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8T4u1012022@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:04 v17226 sendmail[12022]: o3B8T4u1012022: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:05 v17226 sendmail[12083]: o3B8T5GX012083: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8T5GX012083@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:05 v17226 sendmail[12083]: o3B8T5GX012083: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:05 v17226 sendmail[12095]: o3B8T5bZ012095: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8T5bZ012095@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:05 v17226 sendmail[12095]: o3B8T5bZ012095: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:06 v17226 sendmail[12100]: o3B8T6rD012100: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8T6rD012100@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:06 v17226 sendmail[12100]: o3B8T6rD012100: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:07 v17226 sendmail[12102]: o3B8T7G3012102: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8T7G3012102@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:07 v17226 sendmail[12102]: o3B8T7G3012102: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:11 v17226 sendmail[12136]: o3B8TBOV012136: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8TBOV012136@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:11 v17226 sendmail[12136]: o3B8TBOV012136: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:13 v17226 sendmail[12151]: o3B8TDHI012151: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8TDHI012151@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:13 v17226 sendmail[12151]: o3B8TDHI012151: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:20 v17226 sendmail[13578]: o3B8TKQT013578: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8TKQT013578@kc3237.vps.masterhost.ru>, relay=apache@localhost

Apr 10 12:29:20 v17226 sendmail[13578]: o3B8TKQT013578: to=result.azhenk@gmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30211, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Apr 10 12:29:35 v17226 sendmail[13759]: o3B8TZTE013759: from=apache, size=211, class=0, nrcpts=1, msgid=<201004110829.o3B8TZTE013759@kc3237.vps.masterhost.ru>, relay=apache@localhost

27

Zorge.Org

12 апреля 2010, 07:35

#1

Могу предположить (судя по логу), что рассылают спам из уязвимости в скрипте.

Варианта два: найти и исправить уязвимость или отключить sendmail, раз он вами вообще не используется.

F

116

foxyrus

12 апреля 2010, 10:56

#2

глянул у себя так же стало интересно толи это скрипты (WP phpbb3) толи еще ктото (чтото) рассылает

Apr 12 13:29:24 ipod-touch-max sendmail[21921]: STARTTLS=client, relay=[127.0.0.1], version=TLSv1/SSLv3, verify=FAIL, cipher=DHE-RSA-AES256-SHA, bits=256/256

Apr 12 13:29:24 ipod-touch-max sm-mta[21958]: STARTTLS=server, relay=localhost.localdomain [127.0.0.1], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256

Apr 12 13:29:24 ipod-touch-max sm-mta[21958]: o3C9TOEt021958: from=<webmaster@ipod-touch-max.ru>, size=2465, class=0, nrcpts=1, msgid=<124d82af854b4769add6045957ab8c7d@forum.ipod-touch-max.ru>, proto=ESMTP, daemon=MTA-v4, relay=localhost.localdomain [127.0.0.1]

Apr 12 13:29:24 ipod-touch-max sendmail[21921]: o3C9TMFb021921: to="=?UTF-8?B?YWVjb20=?=" <aecom.vladam@gmail.com>, delay=00:00:02, xdelay=00:00:00, mailer=relay, pri=32263, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (o3C9TOEt021958 Message accepted for delivery)

Apr 12 13:29:24 ipod-touch-max sm-mta[21961]: o3C9TOEt021958: to=<aecom.vladam@gmail.com>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=122465, relay=gmail-smtp-in.l.google.com. [209.85.218.17], dsn=2.0.0, stat=Sent (OK 1271064564 25si9096803bwz.75)

Apr 12 13:34:25 ipod-touch-max sendmail[3211]: o3C9YP6R003211: Authentication-Warning: ipod-touch-max.ru: www-data set sender to webmaster@ipod-touch-max.ru using -f

Apr 12 13:34:25 ipod-touch-max sendmail[3211]: o3C9YP6R003211: from=webmaster@ipod-touch-max.ru, size=2155, class=0, nrcpts=1, msgid=<ec9ee2c32e038891accb831c70d0ed53@forum.ipod-touch-max.ru>, relay=www-data@localhost

Apr 12 13:34:25 ipod-touch-max sm-mta[3213]: STARTTLS=server, relay=localhost.localdomain [127.0.0.1], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256

Apr 12 13:34:25 ipod-touch-max sendmail[3211]: STARTTLS=client, relay=[127.0.0.1], version=TLSv1/SSLv3, verify=FAIL, cipher=DHE-RSA-AES256-SHA, bits=256/256

Apr 12 13:34:25 ipod-touch-max sm-mta[3213]: o3C9YPRQ003213: from=<webmaster@ipod-touch-max.ru>, size=2357, class=0, nrcpts=1, msgid=<ec9ee2c32e038891accb831c70d0ed53@forum.ipod-touch-max.ru>, proto=ESMTP, daemon=MTA-v4, relay=localhost.localdomain [127.0.0.1]

Apr 12 13:34:25 ipod-touch-max sendmail[3211]: o3C9YP6R003211: to="=?UTF-8?B?TGFja3k=?=" <lacky-home@yandex.ru>, delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=32155, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (o3C9YPRQ003213 Message accepted for delivery)

Apr 12 13:34:28 ipod-touch-max sm-mta[3216]: o3C9YPRQ003213: to=<lacky-home@yandex.ru>, delay=00:00:03, xdelay=00:00:03, mailer=esmtp, pri=122357, relay=mx.yandex.ru. [213.180.204.89], dsn=2.0.0, stat=Sent (Ok: queued on mxfront57.mail.yandex.net as 5938628900BC)

в чем отличие sm-mta от sendmail ?

Apple iPod Touch (http://ipod-touch-max.ru/) - получи MAXимум!

V

128

vapetrov

12 апреля 2010, 17:47

#3

Как уже говорилось, скорее всего идет рассылка через уязвимость в каком-то скрипте. Либо через специально залитый на сервере вредоносный скрипт - он может быть элементарно простым, антивирус его не заметит.

Обычно в ISPmanager нет средств чтобы зафиксировать, какой именно скрипт отправляет письма. Хотя в природе и существуют патчи к php, которые дописываю соответствующие заголовки в каждое отправленное сообщение.

Остается только одно - смотреть текущие статусы сервера и логи, дабы засекти какой скрипт отправляет письма.

Вам помогут

tail -f /var/log/maillog

top

service httpd fullstatus (или lynx -dump http://127.0.0.1/server-status)

и просмотр логов апача.

В логах апача обращайте внимание на запросы типа POST, скорее всего рассылки идет именно через них.

Приватный linux-администратор

Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи

С сервера рассылают - как запретить?