postfix - рассылаем спам. Как найти вирус?

[nebot]

Добрый день.
По логам увидели, что спамбот создает несуществующие адреса и рассылает от нас спам.
Прошу помощи в решении проблемы.
 Где искать злобного зловреда? И как обезвредить?
Долгими поисками выяснилось, что рассылает с наших несуществующих адресов. Существующие ненужные адреса закрыли. Количество спама от нас уменьшилось, но не прекратилось. Закрыть сеть в mynetworks - нельзя. письма перестают уходить.А сервер рабочий -экспериментировать накладно.
Можно применить полумеры - например, отправлять письма от существующих адресов, но не могу правильно настроить - не хватает опыта.

Подскажите, как узнать, кто создает письма на основе майллога? Книжки читал, в Гугл ходил)

 в майллог вот, например. Код:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Apr 23 08:09:38 mail postfix/qmgr[296]: 0EE3EFE0A2: from=<aishatu@yahoo.com>, size=74474, nrcpt=50 (queue active)
 Apr 23 08:09:39 mail postfix/qmgr[296]: 0EE3EFE0A2: to=<surveymolly@yahoo.com>, relay=none, delay=15874, status=deferred (delivery temporarily suspended: connect to mta5.am0.yahoodns.net[98.138.112.37]: server refused to talk to me: 421 4.7.0 [TS01] Messages from 80.233.137.252 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html  )
 Apr 23 08:09:39 mail postfix/qmgr[296]: 0EE3EFE0A2: to=<surveymom1313@yahoo.com>, relay=none, delay=15874, status=deferred (delivery temporarily suspended: connect to mta5.am0.yahoodns.net[98.138.112.37]: server refused to talk to me: 421 4.7.0 [TS01] Messages from 80.233.137.252 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html  )

или вот. Лог после шаманств. Рассылает постмастер...Пароль на нем сменили.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Apr 24 16:53:12 mail postfix/smtpd[14210]: connect from mail2.kermeet.com[176.31.229.207]
Apr 24 16:53:12 mail postfix/cleanup[13333]: E1D03107E09: message-id=<20130424135312.E1D03107E09@mail.exsample.com>
Apr 24 16:53:12 mail postfix/qmgr[11670]: E1D03107E09: from=<postmaster@exsample.com>, size=257, nrcpt=1 (queue active)
Apr 24 16:53:13 mail postfix/smtpd[14205]: connect from mail2.kermeet.com[176.31.229.207]
Apr 24 16:53:15 mail postfix/smtp[13972]: E1D03107E09: to=<kermeet@kermeet.com>, relay=mail.kermeet.com[176.31.229.207], delay=3, status=deliverable (250 2.1.5 Ok)
Apr 24 16:53:15 mail postfix/qmgr[11670]: E1D03107E09: removed


 main. cf Код:

 

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

myorigin = $mydomain
 smtpd_banner = ESMTP $mail_name
 #inet_interfaces = $myhostname
 mydestination = localhost
 mynetworks = *****
 alias_maps = hash:/etc/postfix/aliases
 alias_database = hash:/etc/postfix/aliases
 mail_owner = postfix
 setgid_group = postdrop
 debug_peer_level = 2
 queue_directory = /var/spool/postfix
 command_directory = /usr/sbin
 daemon_directory = /usr/libexec/postfix
 sendmail_path = /usr/sbin/sendmail
 newaliases_path = /usr/bin/newaliases
 mailq_path = /usr/bin/mailq
 manpage_directory = /usr/local/man
 sample_directory = /etc/postfix
 readme_directory = no
 html_directory = no
 #header_checks = regexp:/etc/postfix/header_checks
 unknown_local_recipient_reject_code = 450
 message_size_limit = 20000000
 #virtual_mailbox_limit = 100000000
 virtual_transport = virtual
 virtual_mailbox_base = /var/spool/mail/virtual
 virtual_uid_maps = static:1001
 virtual_gid_maps = static:12
 virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domain_maps.cf
 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
 virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
 virtual_mailbox_limit_inbox = no
 virtual_create_maildirsize = yes
 #virtual_mailbox_extended = yes
 #virtual_maildir_extended = yes
 #virtual_overquota_bounce = yes
 #virtual_mailbox_limit_maps = mysql:/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
 #virtual_mailbox_limit_override = yes
 #virtual_maildir_limit_message = Sorry, the user's maildir has overdrawn his diskspace quota, please try again later.
 recipient_bcc_maps = hash:/etc/postfix/recipient_bcc
 sender_bcc_maps = hash:/etc/postfix/sender_bcc
 biff = no
 strict_rfc821_envelopes = yes
 smtpd_helo_required = yes
 #smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
 #smtpd_sender_restrictions = permit_mynetworks, reject_unverified_sender, reject_unverified_recipient, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_unknown_hostname
 smtpd_sender_restrictions = hash:/etc/postfix/sender_access, permit_mynetworks, reject_invalid_hostname, reject_unverified_sender
 #smtpd_recipient_restrictions = permit_mynetworks, reject_unverified_recipient, reject_unverified_sender, reject_unauth_destination, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_non_fqdn_hostname
 smtpd_recipient_restrictions = permit_mynetworks, reject_unverified_recipient, reject_unauth_destination

 Большое спасибо.

[satch]

mailq
показывает очередь отправки. в нем увидите адрес отправителя

[Y.dMiTrIy]

На открытый релей проверяли?

[nebot]

mailq
показывает очередь отправки. в нем увидите адрес отправителя

адрес - случайный. Не из нашей сети.
Сегодня обнаружил в очереди. Похоже, нас уже в спамлист занесли(

(Нажмите, чтобы показать/скрыть)

D0882108C92    74474 Thu Apr 25 07:53:16  aishatu@yahoo.com
(connect to hrndva-smtpin02.mail.rr.com[71.74.56.244]: server refused to talk to me: 554 5.7.1 - ERROR: Mail refused - <наш IP> - See http://postmaster.rr.com/amIBlockedByRR?ip=наш IP)
                                         bbouillon@kc.rr.com
(connect to meritmail-mx2.merit.edu[207.75.116.86]: server refused to talk to me: 554-sfpop-ironport02.merit.edu  554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
                                         barbpod@ksu.edu
(connect to mx.vgs.untd.com[64.136.52.37]: server refused to talk to me: 550 Access denied...3cd871cc7dcc59d8c1007d7d792d0000011dbd0ca5b9f5e12c4c0c49f92c3c2cb83d2c99cd85...)
                                         dialdail@juno.com
                (connect to mail.dotstandards.com[64.38.116.12]: read timeout)
                                         QVarady@dotstandards.com
                                         RStinebuck@dotstandards.com
                                         SDanforth@dotstandards.com
                                         SEnnaco@dotstandards.com
                                         VMartina@dotstandards.com
                                         WAlibozek@dotstandards.com
                                         XNinos@dotstandards.com

На открытый релей проверяли?

http://tests.nettools.ru/
Все тесты пройдены успешно.
Сервер не является публичным пересыльщиком почты.

[Y.dMiTrIy]

Клиенты почтового сервера, как отправляют-принимают почту?

[nebot]

Клиенты почтового сервера, как отправляют-принимают почту?

эээ.. а конкретнее? Что вы хотите услышать? через outlook. Иногда через roundcube. По 25 и 110 портам.

[Y.dMiTrIy]

Сайты на сервере есть?

[nebot]

Сайты есть.Защищены, вроде бы хорошо.По заголовкам письма же можно понять - когда Php их отправляет? Это я гугла начитался. )(
Вот левое письмо.

[Y.dMiTrIy]

А что php уже с командной строкой не работает?
Если нет разграничения прав и групп на существующие ресурсы на сервере, значит они общие. Одна уязвимость уже может дать доступ ко всему.

[nebot]

и как бороться? или проверить?

[Y.dMiTrIy]

Я бы посоветовал переставить на новые рельсы. И попросить человека (или самому) который сможет настроить хостинг + почта, правильно. Искать Вы теперь можете до зеленых веников. Отключайте по одному пользователю\сайту и смотрите, поменяйте все пароли на сервере (не только от почты).

[pers2011]

Nebot Вами была открыта тема - "По логам увидели, что спамбот создает несуществующие адреса и рассылает от нас спам".
У меня появилась недавно подобная проблема. Скажите Вы решили эту проблему и как ?
Можно на E-mail persh.vl@gmail.com