qmail rozsyła spam

[ArturT 0]

Mój VPS rozsyła spam przez qmail. Mam problem w zidentyfikowaniu albo chociaż w przerwaniu wysyłki tego spamu. Ma ktoś jakieś rady co w takim przypadku robić?

 

# ps aux | grep qmail
qmails	 763  0.0  0.0   1912   432 ?	    S    May15   0:12 qmail-send
qmaill	 765  0.0  0.0   1756   256 ?	    S    May15   0:04 splogger qmail
root	   766  0.0  0.0   1784   164 ?	    S    May15   0:03 qmail-lspawn | /usr/bin/deliverquota ./Maildir
qmailr	 767  0.0  0.0   1780   180 ?	    S    May15   0:03 qmail-rspawn
qmailq	 768  0.0  0.0   1752   132 ?	    S    May15   0:02 qmail-clean
root	  1149  0.0  5.3  33316 28244 ?	    Ss   May15   0:05 /usr/bin/spamd --username=popuser --daemonize --nouser-config --helper-home-dir=/var/qmail --ma
x-children 1 --create-prefs --virtual-config-dir=/var/qmail/mailnames/%d/%l/.spamassassin --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.s
ock
qmailr   30676  0.0  0.2   4924  1204 ?	    S    08:16   0:00 /var/qmail/bin/qmail-remote.moved srhip.on.ca root@vpsXXX.domena.pl lhunutr@srhip.on.ca
qmailr   31890  0.0  0.2   4924  1192 ?	    S    08:31   0:00 /var/qmail/bin/qmail-remote.moved math.uqam.ca root@vpsXXX.domena.pl liam@math.uqam.ca
root	 31949  0.0  0.1   2332   716 pts/0    D+   08:31   0:00 grep qmail

[Gość Adam Szendzielorz]

Mój VPS rozsyła spam przez qmail. Mam problem w zidentyfikowaniu albo chociaż w przerwaniu wysyłki tego spamu. Ma ktoś jakieś rady co w takim przypadku robić?

 

# ps aux | grep qmail
qmails	 763  0.0  0.0   1912   432 ?		S	May15   0:12 qmail-send
qmaill	 765  0.0  0.0   1756   256 ?		S	May15   0:04 splogger qmail
root	   766  0.0  0.0   1784   164 ?		S	May15   0:03 qmail-lspawn | /usr/bin/deliverquota ./Maildir
qmailr	 767  0.0  0.0   1780   180 ?		S	May15   0:03 qmail-rspawn
qmailq	 768  0.0  0.0   1752   132 ?		S	May15   0:02 qmail-clean
root	  1149  0.0  5.3  33316 28244 ?		Ss   May15   0:05 /usr/bin/spamd --username=popuser --daemonize --nouser-config --helper-home-dir=/var/qmail --ma
x-children 1 --create-prefs --virtual-config-dir=/var/qmail/mailnames/%d/%l/.spamassassin --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.s
ock
qmailr   30676  0.0  0.2   4924  1204 ?		S	08:16   0:00 /var/qmail/bin/qmail-remote.moved srhip.on.ca root@vpsXXX.domena.pl lhunutr@srhip.on.ca
qmailr   31890  0.0  0.2   4924  1192 ?		S	08:31   0:00 /var/qmail/bin/qmail-remote.moved math.uqam.ca root@vpsXXX.domena.pl liam@math.uqam.ca
root	 31949  0.0  0.1   2332   716 pts/0	D+   08:31   0:00 grep qmail

 

Przede wszystkim sprawdz czy Twoj serwer nie jest np. open-relayem, np. tutaj:

 

http://www.abuse.net/relay.html

 

Nastepnie sprawdz w jaki sposob wywolywany wogole jest qmail-smtpd - czy z xinetd / inetd, czy z tcpservera czy jakos inaczej. Potem sprawdz logi (/var/log/maillog). Podejrzyj naglowki ktoregos maila w kolejce, w katalogu np. /var/qmail/queue/mess/0/ prawdopodobnie bedzie mnostwo podobnych maili - podejrzyj jeden z nich i wklej tutaj naglowki - bedzie widac w jaki sposob mail trafil do kolejki (czy przez SMTP, czy przez sendmaila - np. przez dziurawy skrypt PHP i funkcje mail().

Edytowano Maj 16, 2012 przez Adam Szendzielorz (zobacz historię edycji)

[Bartosz Stępień 75]

U mnie niedawno podobny przypadek, ale to była wina osoby korzystającej z hostingu. Ktoś z Ukrainy wysyłał maile poprzez przesyłanie i usuwanie plików na FTP i później odpalanie ich. Zobacz w logach też czy nikt tak nie robi:

 

May  6 03:57:22 server1 pure-ftpd: (?@127.0.0.1) [iNFO] New connection from 127.0.0.1
May  6 03:57:22 server1 pure-ftpd: (?@127.0.0.1) [iNFO] Logout.
May  6 03:57:24 server1 pure-ftpd: (?@188.190.98.71) [iNFO] New connection from 188.190.98.71
May  6 03:57:24 server1 pure-ftpd: (?@188.190.98.71) [iNFO] pavixion is now logged in
May  6 03:57:25 server1 pure-ftpd: (pavixion@188.190.98.71) [NOTICE] /home/pavixion//adres-strony/ah76wi.php uploaded  (20 bytes, 0.41KB/sec)
May  6 03:57:27 server1 pure-ftpd: (pavixion@188.190.98.71) [NOTICE] /home/pavixion//adres-strony/fuvbagvl.php uploaded  (1843 bytes, 37.39KB/sec)
May  6 03:57:59 server1 pure-ftpd: (pavixion@188.190.98.71) [NOTICE] Deleted /home/pavixion//adres-strony/fuvbagvl.php
May  6 03:57:59 server1 pure-ftpd: (pavixion@188.190.98.71) [NOTICE] Deleted /home/pavixion//adres-strony/ah76wi.php
May  6 03:57:59 server1 pure-ftpd: (pavixion@188.190.98.71) [iNFO] Logout.

[Spacedust 0]

Mam to samo - abuse nie reaguje na maile:

 

188.190.98.71 - syska161 [05/Nov/2012:17:46:59 +0100] "PUT /home/syska161/domena.pl/g688gk7.php" 200 2678

188.190.98.71 - sancho1313 [05/Nov/2012:17:47:40 +0100] "PUT /home/sancho1313/domena2.pl/iueusqgn.php" 200 20

188.190.98.71 - sancho1313 [05/Nov/2012:17:47:40 +0100] "PUT /home/sancho1313/domena2.pl/dxp853n.php" 200 2083

188.190.98.71 - syska161 [05/Nov/2012:17:47:40 +0100] "PUT /home/syska161/domena.pl/cn7b5.php" 200 20

188.190.98.71 - syska161 [05/Nov/2012:17:47:41 +0100] "PUT /home/syska161/domena.pl/fixui.php" 200 2630

188.190.98.71 - sancho1313 [05/Nov/2012:17:48:24 +0100] "PUT /home/sancho1313/domena2.pl/acssfi.php" 200 20

188.190.98.71 - sancho1313 [05/Nov/2012:17:48:25 +0100] "PUT /home/sancho1313/domena2.pl/egfend62.php" 200 2155

188.190.98.71 - syska161 [05/Nov/2012:17:48:25 +0100] "PUT /home/syska161/domena.pl/aoopg.php" 200 20

188.190.98.71 - syska161 [05/Nov/2012:17:48:25 +0100] "PUT /home/syska161/domena.pl/giiwnc.php" 200 3341

[0xFF 32]

Mam to samo - abuse nie reaguje na maile:

 

Jeśli jesteś administratorem serwera, to przecież możesz wyłączyć konto przez który jest rozsyłany SPAM. Czyż nie? :-)

[Spacedust 0]

Jeśli jesteś administratorem serwera, to przecież możesz wyłączyć konto przez który jest rozsyłany SPAM. Czyż nie? :-)

 

Skasowałem konto i nadal się to wysyła !

 

Dopiero blokada IP przez iptables pomaga...

[plomyks 0]

Ze spamem zawsze są problemy

[szuszu 0]

Witam wszystkich, mam podobny problem ze spamem, sprobuje blokady adresu IP, tylko pytanie jak znalezc ten adres ktory rozsyla spam przez moj serwer?