Прощу помочь! Спам с нашего домена

123
B
На сайте с 05.01.2010
Offline
67
#11

Если можно еще вопрос, редактируя exim4.conf поставил dc_local_interfaces = ‘127.0.0.1’ dc_readhost = ‘localhost’

теперь в логах вроде оттаргается отправка левых спам писем

2016-06-03 18:43:55 H=114-36-191-144.dynamic.hinet.net (72.47.129.196) [114.37.191.144] F=<z2007tw@yahoo.com.tw> rejected RCPT <alan.a168@msa.hinet.net>: relay not permitted

Но изучая логи, обнаружил левый сайт в списке (vqoloveboli) и прочерк именно в то же время когда идет одна из попыток рассылки, подскажите, пожалуйста, что это означает

там где замазано мой урл

И еще один вопрос, обнаружил на сервере почтовые порты имеют статус в фаерволе "открыты", нужно ли сделать ограничение по Ip или открытые порты это норма?

заранее большое спасибо

AGHost
На сайте с 16.11.2011
Offline
115
#12

Покажите вывод lsof -i |grep smtp

Можно закрыть еще 25 порт и разрешить его только локальному MTA. Примерно это будет выглядеть так -

#разрешить пользователю mail
iptables -A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --gid-owner 12 -j ACCEPT
#разрешить пользователю root
iptables -A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --gid-owner 0 -j ACCEPT
#заблокировать остальных
iptables -D OUTPUT -p tcp -m multiport --dports 25,465,587 -j DROP

12 это номер группы пользователя mail.

8 лет на рынке услуг хостинга - https://agho.st (https://agho.st)
B
На сайте с 05.01.2010
Offline
67
#13
AGHost:
Покажите вывод lsof -i |grep smtp

Добрый день!

lsof -i |grep smtp

exim4 8042 Debian-exim 3u IPv4 23020 0t0 TCP *:smtp (LISTEN)

exim4 8042 Debian-exim 4u IPv4 23021 0t0 TCP *:ssmtp (LISTEN)

AGHost:

Можно закрыть еще 25 порт и разрешить его только локальному MTA. Примерно это будет выглядеть так -





12 это номер группы пользователя mail.

Спасибо, понял, попробую сделать

В exim на два файла весь лог сейчас забит такими записями

2016-06-03 23:12:13 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data

2016-06-03 23:12:13 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data

2016-06-03 23:12:14 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data

2016-06-03 23:12:14 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data

2016-06-03 23:12:14 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data

2016-06-03 23:12:14 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data

2016-06-03 23:12:15 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data

2016-06-04 07:20:56 Start queue run: pid=4910

2016-06-04 07:20:56 End queue run: pid=4910

2016-06-04 07:21:44 login authenticator failed for (User) [194.189.117.157]: 535 Incorrect authentication data

2016-06-04 07:50:56 Start queue run: pid=5214

2016-06-04 07:50:56 End queue run: pid=5214

2016-06-04 08:03:44 login authenticator failed for (User) [194.189.117.157]: 535 Incorrect authentication data

2016-06-04 08:20:56 Start queue run: pid=5594

2016-06-04 08:20:56 End queue run: pid=5594

2016-06-04 08:50:56 Start queue run: pid=6006

2016-06-04 08:50:56 End queue run: pid=6006

2016-06-04 09:20:56 Start queue run: pid=6408

2016-06-04 09:20:56 End queue run: pid=6408

2016-06-04 09:50:56 Start queue run: pid=6710

2016-06-04 09:50:56 End queue run: pid=6710

2016-06-04 10:20:56 Start queue run: pid=7040

2016-06-04 10:20:56 End queue run: pid=7040

2016-06-04 10:50:56 Start queue run: pid=7334

2016-06-04 10:50:56 End queue run: pid=7334

2016-06-04 11:20:56 Start queue run: pid=7623

2016-06-04 11:20:56 End queue run: pid=7623

2016-06-04 11:50:56 Start queue run: pid=8221

2016-06-04 11:50:56 End queue run: pid=8221

2016-06-04 12:20:56 Start queue run: pid=8734

2016-06-04 12:20:56 End queue run: pid=8734

2016-06-04 12:50:56 Start queue run: pid=9234

2016-06-04 12:50:56 End queue run: pid=9234

2016-06-04 13:08:59 login authenticator failed for (User) [194.189.117.157]: 535 Incorrect authentication data

2016-06-04 13:20:56 Start queue run: pid=9546

2016-06-04 13:20:56 End queue run: pid=9546

Правильно ли я понимаю что это идет подбор авторизации? Только какой и зачем. Нагуглил что нужно # yum install fail2ban и настроить его. Верно ли?

И если не затруднит, подсказать мне по поводу 12 моего поста (логи).

Спасибо

AGHost
На сайте с 16.11.2011
Offline
115
#14

Buildbuildd, скорей всего у Вас взломали пароль к одному ящику и через него рассылали. fail2ban поможет.

SeVlad
На сайте с 03.11.2008
Offline
1609
#15
AGHost:
скорей всего у Вас взломали пароль к одному ящику и через него рассылали.

Есть вариант, что взломали не ящик (данный не могли взломать - его просто не было), а сайт. Спамят через скрипты.

Buildbuildd, портянки выкладывай в ббкоде [code][/code]

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Alex Klo
На сайте с 15.06.2006
Offline
304
#16

Buildbuildd, не забудьте ответить хостеру, что вы не игнорируете письмо, а разбираетесь (хотя бы). а то через неделю неответа ваш аккаунт может быть заблокирован.

Проверка и мониторинг позиций сайта ( http://www.topvisor.ru/?inv=1520 ) Продвигаю сайты http://climat-nw.ru/conditioner-installation/ http://www.aircom-spb.ru/service/montaj/
B
На сайте с 05.01.2010
Offline
67
#17
AGHost:
Buildbuildd, скорей всего у Вас взломали пароль к одному ящику и через него рассылали. fail2ban поможет.

Добрый день! Не, пароль к ящику не взломали так как того ящика с которого идет спам не существует , он только был указан на сервере как админ ящик.

Сейчас я удалил все записи о ящике и поставил ограничения. Вроде спам прекратился, но идет попытка авторизации только к чему не понятно. Поставлю завтра fail2ban чтобы банились эти ip

---------- Добавлено 05.06.2016 в 00:20 ----------

SeVlad:
Есть вариант, что взломали не ящик (данный не могли взломать - его просто не было), а сайт. Спамят через скрипты.

Buildbuildd, портянки выкладывай в ббкоде [code][/code]

Вот скорее всего это, но как найти этот скрипт? Прошелся айболитом по файлам,выдал ряд вариантов, но руками все проверил тревоги ложные, явных шелов или явных скриптов нет. Как можно найти эти скрипты? Несмотря на то, что сейчас прекратилось, хочется найти причину
Тоже гуглил нашел интересный способ на забугорном форуме, может кому пригодится , но у меня не вышло, (убрать 4 пробела w ww. inmotionhosting. com /support/email/exim/find-spam-script-location-with-exim)
там предлагается такая это grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
мне не дает ответа никакого просто без реакции, хотя все вроде меня под свои пути логов и spool ( у меня Linux 3.2.0-4-amd64 #1 SMP Debian 3.2.51-1 x86_64L)

AGHost:
Buildbuildd, портянки выкладывай в ббкоде [code][/code]

Сорри, понял

---------- Добавлено 05.06.2016 в 00:21 ----------

Alex Klo:
Buildbuildd, не забудьте ответить хостеру, что вы не игнорируете письмо, а разбираетесь (хотя бы). а то через неделю неответа ваш аккаунт может быть заблокирован.

Спасибо, им отписался еще в первый раз, думая что это спуффинг, а сейчас еще отписался что нашли причину и спам остановили.


На данный момент спам остановлен, но просто нон стопом идет такая фигня в exim логе

2016-06-04 18:29:17 no IP address found for host 201-114-13-190.mycallis.com (during SMTP connection from [201.114.13.190])
2016-06-04 18:29:17 cram authenticator failed for (FILESERVER) [201.114.13.190]: 535 Incorrect authentication data
2016-06-04 18:29:17 plain authenticator failed for (FILESERVER) [201.114.13.190]: 535 Incorrect authentication data
2016-06-04 18:29:18 login authenticator failed for (FILESERVER) [201.114.13.190]: 535 Incorrect authentication data
2016-06-04 18:29:18 H=(FILESERVER) [2041.114.13.190] F=<Onlineverification@memberservice.com> rejected RCPT <blackpeople559@yahoo.com>: relay not permitted
2016-06-04 18:50:56 Start queue run: pid=26648
2016-06-04 18:50:56 End queue run: pid=26648
2016-06-04 18:56:48 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 19:05:55 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 19:20:56 Start queue run: pid=27523
2016-06-04 19:20:56 End queue run: pid=27523
2016-06-04 19:47:45 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 19:50:56 Start queue run: pid=28410
2016-06-04 19:50:56 End queue run: pid=28410
2016-06-04 19:56:51 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 19:57:46 no host name found for IP address 64.28.248.165
2016-06-04 19:57:47 cram authenticator failed for (VPS164) [64.28.248.165]: 535 Incorrect authentication data
2016-06-04 19:57:47 plain authenticator failed for (VPS164) [64.28.248.165]: 535 Incorrect authentication data
2016-06-04 19:57:47 login authenticator failed for (VPS164) [64.28.248.165]: 535 Incorrect authentication data
2016-06-04 19:57:47 H=(VPS164) [64.28.248.165] F=<amex@memberservice.com> rejected RCPT <debre.tepi@yahoo.com>: relay not permitted
2016-06-04 20:20:56 Start queue run: pid=29087
2016-06-04 20:20:56 End queue run: pid=29087
2016-06-04 20:38:09 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 20:47:26 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 20:50:56 Start queue run: pid=29662
2016-06-04 20:50:56 End queue run: pid=29662
2016-06-04 21:20:56 Start queue run: pid=30213
2016-06-04 21:20:56 End queue run: pid=30213
2016-06-04 21:30:55 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 21:39:55 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 21:50:56 Start queue run: pid=938
2016-06-04 21:50:56 End queue run: pid=938
2016-06-04 22:20:56 Start queue run: pid=1533
2016-06-04 22:20:56 End queue run: pid=1533
2016-06-04 22:21:24 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 22:30:23 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 22:50:56 Start queue run: pid=2073
2016-06-04 22:50:56 End queue run: pid=2073
2016-06-04 23:12:01 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 23:20:56 Start queue run: pid=2785
2016-06-04 23:20:56 End queue run: pid=2785
2016-06-04 23:21:05 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-04 23:21:21 SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=li1068-122.members.linode.com [103.184.3.122] input="SSH-2.0-LYGhost_1.2.7-20100630\r\n"
2016-06-04 23:21:21 SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=li1068-122.members.linode.com [103.184.3.122] input=""
2016-06-04 23:50:56 Start queue run: pid=3589
2016-06-04 23:50:56 End queue run: pid=3589
2016-06-05 00:02:54 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data
2016-06-05 00:11:59 login authenticator failed for (User) [192.182.117.157]: 535 Incorrect authentication data


В логе авторизаций тоже подбор какой то идет постоянно

Jun 5 01:37:30 мойдомен sshd[6991]: Failed password for root from 112.35.116.47 port 54820 ssh2
Jun 5 01:37:32 мойдомен sshd[6991]: Failed password for root from 112.35.116.47 port 54820 ssh2
Jun 5 01:37:33 мойдомен sshd[6991]: Received disconnect from 112.35.116.47: 11: [preauth]
Jun 5 01:37:33 мойдомен sshd[6991]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.35.116.47 user=root
Jun 5 01:37:36 мойдомен sshd[6994]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.35.116.47 user=root



а в nginx access логе никаких явных подозрительных записей нет (кроме той что в 12 посте я выложил)
SeVlad
На сайте с 03.11.2008
Offline
1609
#18
Buildbuildd:
Вот скорее всего это, но как найти этот скрипт? Прошелся айболитом по файлам,выдал ряд вариантов, но руками все проверил тревоги ложные, явных шелов или явных скриптов нет. Как можно найти эти скрипты

Ну во первых айболитом сканить нужно в параноидальном режиме.

Во вторых - он не панацея.

Вот у меня был случай. Чистил клиенту сайт - да, нашлись дыры (как обычно - шаблоны с помойки), устранил, но спам не через них шел. А что получилось - спамерские скрипты были залиты вне документрут, а безобидные инклуды были уже в каталоге сайта. Ессно, их никакой антивирусник не найдёт.

Д
На сайте с 01.04.2012
Offline
156
#19

Было что-то подобное. Exim остановил и Dovecot и о проблеме забыл. Почта тоже на яндексе. Письма ходят. Брутить перестали. Сталкивался когда почта и ФТП имеют одни данные при создании аккаунта через панель DA.

M
На сайте с 04.10.2011
Offline
90
#20
Buildbuildd:
Какие логи могут показать как идет спам, тоесть как найти через что рассылается?

Не далее как вчера свой сервер отчистил от подобной дряни. Поискать попробуй в логах апача access

Четко прослеживается по POST запросам к вредоносному скрипту

Еще, сам скрипт (по крайней мере у меня так было) содержит eval/*

Сдается, обращаться скайп avdesk-it-kmm Верстка, кодинг - контакты в профиле... VPS от 5€ (https://gmhost.com.ua/?partner=10255)
123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий