camikazee 0 Zgłoś post Napisano Styczeń 3, 2013 Mam takie lamerskie pytanie odnośnie rozsyłania spamu poprzez exima. Korzystam z DA, jakiś czas temu serwer rozsyłał spam, zupdatowałem całego DA, exima, zmodyfikowałem config i wymusiłem autoryzację. Od prawie miesiąca nie było problemu. Nagle wczoraj dostałem powiadomienia, że znów trafiło IP na blacklisty. Przeanalizowałem mainloga i są próby logowania z fałszywych adresów z domeny, wszystkie kończą się "incomplete'm". Teraz już sam nie wiem, czy rzeczywiście spam wyszedł z mojej maszyny. Czy jeżeli tak by było, to w logu byłby komunikat completed, czy jest opcja by odbyło się to poza logiem lub mail by poszedł a komunikat byłby mylący (incompleted). Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Styczeń 4, 2013 Na pewno nie można zakładać, że logi są ponad wszystkim i zawsze wskażą problem. Skoro jakiś wirusik dostał się np. do roota to równie dobrze mógł wyczyścić logi, bo przecież nikt mu nie zabroni prawda? Jeśli Twoje IP trafiło na blacklistę to na 100% jest to wina Twojej maszyny. Nawet jeśli jakiś serwer się podpisze prezydent.pl to i tak końcowy serwer pocztowy w ogóle go nie wpuści (prezydent.pl =/= IP Serwera Pocztowego). Na Twoim miejscu przeanalizowałbym wszystkie logi do jakich mam dostęp. Głównie sysloga, mailloga i php loga (apache'a). Możliwe, że jakieś ustrojstwo niekoniecznie dostaje się do exima, a po prostu wykorzystuje dziurę w jakimś skrypcie PHP. To oczywiście tylko przypuszczenia. Ogółem monitoruj przede wszystkim /var/log/syslog bo tam będzie najwięcej ciekawych informacji. Udostępnij ten post Link to postu Udostępnij na innych stronach
camikazee 0 Zgłoś post Napisano Styczeń 6, 2013 Dzięki za odpowiedź Aczkolwiek mam problem, ponieważ sprawdzając listę maili na http://support.clean-mx.de/clean-mx/publog?ip=IP i porównując je z logami nie widzę wiele prób (dziesiątki) logowania na te adresy pewnie poprzez telnet, ale tam wszystkie próby są odrzucone. Wykluczam nieautoryzowanych użytkowników i zhackowane konto roota. Raczej gdzieś mam dziurę, której namierzyć nie mogę. Teoretycznie gdybym miał dziurę, to na tą ilość prób ataków, wysłanych maili byłoby więcej. Gdy nie miałem włączonej autoryzacji, to boty wysyłałay dziesiątki maili na sekundę, teraz wysłanych 3 stycznia było z dziesięć i wczoraj jeden. Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Styczeń 6, 2013 Tak jak mówię pierw zlokalizuj przez co e-mail jest wysyłany. Może to być zarówno exim jak i np. funkcja mail() w php. Bez logów na 100% się nie dowiesz co jest winą, no chyba że znajdziesz mityczną szklaną kulę i Ci powie . Tak jak mówiłem /var/log/syslog i odpowiednie logi pozostałych aplikacji, w tym mail.log czy access.log i pewno jeszcze parę się znajdzie co nam mogą coś powiedzieć. Udostępnij ten post Link to postu Udostępnij na innych stronach