Skocz do zawartości
Zaloguj się, aby obserwować  
Gość nrm

Postfix Spam

Polecane posty

Gość normanos

Witam!

 

Dzisiaj cos mnie zaatakowało i rozsyła spam. Pomóżcie mi zloalizować co to może byc bo mi się juz pomysły kończą no i co z tym zrobić.

 

1. open relaya z pewnością nie ma. testowałem wieloma narzędziami w sieci. w logach widać mase odrzuconego spamu.

 

2. maile chyba ida przez www-data co znaczy, że to pewnie przez mail(); w php. znalazłem jeden skrypt, który z pewnościa został zaatakoiwany (miał wlasne logi). skasowalem.

 

3. maile ida nadal ?!? skasowalem wszystko z kolejki postfixa. troche ciszy i znow jakieś gówno leci.

 

4. przyblokowałem przez mod_security wszystkie syfy jakie mozna przesłać w nagłówkach łącznie z bcc: itp.

 

5. troche logów:

 

Feb 20 14:35:52 debian postfix/smtpd[25011]: connect from omr-d07.mx.aol.com[205.188.159.13]
Feb 20 14:35:52 debian postfix/smtpd[25011]: E0E9925C253: client=omr-d07.mx.aol.com[205.188.159.13]
Feb 20 14:35:53 debian postfix/cleanup[24945]: E0E9925C253: message-id=<200602200835.243f9c5b2310@om
r-d07.mx.aol.com>
Feb 20 14:35:53 debian postfix/qmgr[4766]: E0E9925C253: from=<>, size=804, nrcpt=1 (queue active)
Feb 20 14:35:53 debian postfix/local[24946]: E0E9925C253: to=<www-data@mail.serv.pl>, relay=local, de
lay=1, status=sent (delivered to command: procmail -a "$EXTENSION")
Feb 20 14:35:53 debian postfix/qmgr[4766]: E0E9925C253: removed

 

i spamy:

 

Feb 20 14:30:13 debian postfix/smtp[22609]: AD05625C2B6: to=<dantabou@aol.com>, relay=mailin-01.mx.a
ol.com[64.12.137.249], delay=58303, status=sent (250 OK)
Feb 20 14:30:13 debian postfix/smtp[22609]: AD05625C2B6: to=<dapeopleschamp34@aol.com>, relay=mailin
-01.mx.aol.com[64.12.137.249], delay=58303, status=sent (250 OK)

 

przyblokowałem troche ipków ale tego jest sporo.

 

jakies pomysły?

 

ps. jak przyblokować całkowicie wysylanie poczty do aol.com?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie mam w tej chwili zbyt wiele czasu na to aby się zastanawiać nad rozwiązaniem...

ale napiszę Ci tak jak zablokować maile do AOL:

1) jeśli go nie masz, to stwórz plik /etc/postfix/access_recipient

2) dodaj w nim wpis: aol.com REJECT buuu

3) postmap /etc/postfix/access_recipient

4) w pliku /etc/postfix/main.cf, w sekcji recipient_restrictions dodaj wpis: check_recipient_access hash:/etc/postfix/access_recipient

5) /etc/init.d/postfix reload

gotowe ;)

 

 

P.S. tak na wszelki wypadek zrób jeszcze ten test: telnet relay-test.mail-abuse.org

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Masz rację. Sprawdziłem to u siebie i też nie zadziałało.

Najwyraźniej w ten sposób można tylko blokować wiadomości przychodzące "do nas".

Hmmm... Niech no pomyślę... Rozwiązanie tymczasowe, a nawet 2 do wyboru:

1) php.ini -> disable_functions -> dodaj mail -> /etc/init.d/apache2 restart

2) iptables -A OUTPUT -d klasa.adresow.ip.aol/24 -j DROP

a w między czasie zerknij do manuala Postfixa,

bo to niemożliwe aby ten daemon nie miał funkcji blokowania

domen dla "ruchu wychodzącego", a ja wracam do kuchni

bo mi się kotlety przypalają...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość normanos

stary, mi żona na tydzień wyjechała a ty mi o kotletach?!? :) "od trzech dni nie miałem nic w ustach" (seksmisja) ;)

 

tak, z pewnościa da się jakoś przyblokowac i wychodzący ruch. troche przetrzepałem newsgrupy ale jak na razie nic nie zadziałało. A teraz to nawet nie wiem czy bede mógł to sprawdzić bo aol wysłał mi ostrzeżenie :)

 

1. nie chce blokowac maila w php bo mi wszystko siądzie. kilka for, sklepów etc. wszystko wysyła maile.

 

poza tym od szukania syfu w POST mam mod_security, które teraz powinno to wyłapać. ostatni log jest z 6 rano. skrypty pokasowalem a spam poszedł potem jeszcze z kilka razy cholera wię jakim sposobem. nie wyglądało to już na bezposrednie przejscie przez POST/GET w php.

 

2. juz porzyblokowałem wiekszość adresów AOLa i to chyba na razie pomogło bo od 14 nic sie nie rozesłało.

 

tak czy inaczej problem pewnie nadal istnieje. pozabezpieczalem wszystko wg. kilku roznych fajnych manuali o bezpieczeństwie postfixa i jak widac to za mało.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Blokowanie poczty... blokowaniem,

ale jeżeli Twój serwer to nie open-relay, do tego zablokowałeś w php funkcję mail,

a coś cały czas wysyła śmieci via user www-data, to pewnie masz jakieś świństwo na dysku.

Innej opcji w tej chwili nie widzę, aczkolwiek mogę się mylić bo robię teraz kilka

rzeczy na raz, a mój kernel działa bardzo niestabilnie przy load average powyżej 1.5. ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość normanos

nie, funkcji mail nie blokowalem. potrzebna mi jest.

 

system poskanowalem kilkoma rootkithunterami i nic nie znalazły niepokojącego.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No dobra. Nie masz syfu, zaś php(mail) potrzebujesz...

Jakiś czas temu na tym forum Adam Szendzielorz prosił o jakiś szkielet w Perlu do...

Odszukaj ten temat, pójdz za linkiem, bo tam jest prosty i ciekawy skrypt(łącznie ze sposobem instalacji),

który zapisuje do logów adres każdego skryptu który coś wysyła,

a po małych przeróbkach(mi to zajęło kiedyś 15 minut, a z Perla jestem prawie zielony)

można go dostosować tak aby zapisywał wszystko co możliwe w sposób jaki tylko wymyślisz!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość normanos

tak, widziałem skrypt rano. niestety nie działa mi, maile nie sa w ogóle wysyłane, w logu skryptu nic sie nie zapisuje, w logach systemowych nie ma zadnego bledu :/ nie znam sie na perlu więc nie wiem co mi tu nie gra :/ szkoda, ze w logahc nic nie ma naprowadzającego na blad.

 

edit: okej znalazlem blad, logi sa zapisywane, zobaczymy co z tego bedzie po paru godzinach.

btw: jak log sie zrobi ogromny to co, kasowac?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie kasuj go. Przecież po to Ci ten skrypt abyś wiedział... ;)

Jak masz wszystko w jednym pliku, to go łatwiej później "przetwarzać",

więc niech on się spokojnie rozrasta przez te pare godzin.

Dla rozluźnienia atmosfery:

Spam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość normanos

przez pare godzin to pewnie. mailem na mysli dluzszy okres czasu ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie wiem, co Ty tam u siebie hostujesz, ale jak na mój gust to możesz i przez najbliższy tydzień logować

wszystko jak leci, a jedyne co Cię dotknie to ciut wyższy load maszyny spowodowany uruchamianiem każdorazowo przy wysyłce wiadomośc skryptu w Perlu.

No chyba że się mylę, a Ty ślesz 10 tyś. maili/godzina. ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość normanos

nie nie.. niewiele tych maili z posiomu php idzie. glownie z for. teraz sie mecze z tym perlem aby wyciagnac troche wiecej informacji niz data i katalog.. ale slabo mi idzie (patrz watek Adama).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×