Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: Postfix спам атака. Как прикрыть эту лавочку.  (Прочитано 3516 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Truewebber

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Postfix спам атака. Как прикрыть эту лавочку.
« : 18 Августа 2014, 02:15:50 »
Добрый день!

Одним вечером обнаружил сообщение от хостера в котором говорилось, что я спамлю со своего сервера.
Вот это сообщение.
(Нажмите, чтобы показать/скрыть)

И логи мне сказали, что несколько раз в секунду мой сервер шлет письма всем подряд.
Единственное что нашел в интернете полезного, так это сделать проверку на опенрелей.
Проверка прошла успешно и ничего не нашла.

Так же я сменил пароли у root и пользователя под которым логинюсь.
Сменил пароль на почте и оставил лишь один почтовый ящик admin@truewebber.com
Но спам так же и идет.

Сейчас postfix отключен, дабы спам не шел.

Если кто-то может помочь, то я буду безмерно благодарен.

Вот часть лога /var/log/mail.log
(Нажмите, чтобы показать/скрыть)

Оффлайн satch

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1561
  • Kubuntu 15.10 amd64
    • Просмотр профиля
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #1 : 18 Августа 2014, 06:16:52 »
возможно, письма отправляются из очереди которая еще не кончилась. надо почистить очередь.
Наше желание помочь прямопропорционально вашему желанию решить проблему

Оффлайн Yuriy_Y

  • Старожил
  • *
  • Сообщений: 1736
    • Просмотр профиля
    • Новоишимка
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #2 : 18 Августа 2014, 06:58:50 »
И проверить сайты на сервере на предмет новых и непонятных скриптов.
С уважением, Юрий.

Оффлайн Truewebber

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #3 : 18 Августа 2014, 12:49:43 »
Почистил очередь почты, она была забита.
На сайтах не нашел ничего подозрительного.

Запустил postfix, пока, вроде все в порядке.

И все-таки, как спамеры получили доступ к серверу? Куда копать?

Оффлайн satch

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1561
  • Kubuntu 15.10 amd64
    • Просмотр профиля
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #4 : 18 Августа 2014, 13:18:20 »
первое что приходит в голову - перебором пароля к ssh. читайте логи, в частности auth.log
Наше желание помочь прямопропорционально вашему желанию решить проблему

Оффлайн Truewebber

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #5 : 18 Августа 2014, 14:34:46 »
Но у меня стоит запрет логина по ssh под root.
Не могли же они угадать, какой там еще логин.

Оффлайн satch

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1561
  • Kubuntu 15.10 amd64
    • Просмотр профиля
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #6 : 18 Августа 2014, 14:58:43 »
а вы все таки почитайте логи, посмотрите какие логины и пароли перебирают :)
Наше желание помочь прямопропорционально вашему желанию решить проблему

Оффлайн Truewebber

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #7 : 19 Августа 2014, 01:26:47 »
И правда регулярно перебирают для логинов root, test, admin.
Но не видел, чтобы был вход. Либо говорит, что нет такого юзера, либо слишком много раз ошибочный пароль.

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #8 : 19 Августа 2014, 09:58:37 »
fail2ban

Оффлайн serhy

  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #9 : 20 Августа 2014, 17:15:32 »
Цитата: Truewebber от 18 Августа 2014, 12:49:43
И все-таки, как спамеры получили доступ к серверу?
Конектятся напрямую к Postfix. Нужно банить неудачные попытки коннекта fail2ban'он.

Цитата: Truewebber от 18 Августа 2014, 12:49:43
Куда копать?
Сервер сами устанавливали, провайдер? Нужно в конфиге запретить коннекты к postfixу из вне. На ubuntu.ru помоему есть wiki.

Сам использую Exim, fail2ban банит по 150-200 IP в сутки. Дело даже доходит до: 1 попытка подбора - 1 IP, ну чтобы fail2ban не забанил. Думаю нужно сделать, чтобы 1 неудачная аутентификация и сразу бан.

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #10 : 20 Августа 2014, 18:03:08 »
Запрет коннекта к postfix извне естественным образом приведет к отсутствии легитимной входящей почты вообще. Надо запрещать именно подбор паролей fail2ban-ом.

Оффлайн Truewebber

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Postfix спам атака. Как прикрыть эту лавочку.
« Ответ #11 : 20 Августа 2014, 20:02:08 »
Я ставил fail2ban, забыл настроить. По умолчанию он у меня ничего не делал.
Настроил его на ssh, postfix и pure-ftpd. Банит на сутки через 3 неверных попытки. Думаю для начала так, а если понадобится переведу его на более жесткий режим.

Всем спасибо! Закрываю тему!
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.023 секунд. Запросов: 22.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.