Взлом почтового сервера на Debian

[CaypoH]

Описываю ситуацию:
сегодня секретурка попросила глянуть почему у неё начиная с 27-го числа нету почты. полез, просто ради интереса, на сервер, который у нас на Debian, глянул логи авторизации в /var/log и обнаружил 200 килобайтный файл лога, в котором начиная с 8 утра 25-го числа шли многочисленные попытки подборки пароля root.  26-го числа вечером они увенчались успехом, что видно по логам. взломщики юзали французский проксик, как показала проверка whois на осталенный в логах айпишник. пароль рута я первым делом сменил.
теперь начинается самое интересное. почтовый сервер кушается лимитный интернет-тариф, который тут же ушёл в большой минус. ушёл он потому, что с 26-го числа данный почтовик используется с целью спама. согласно логам шли отсылки вплоть до 8 сообщений в секунду.
в данный момент почта не работает ввиду того что баланс отрицательный. поплнять баланс я им запретил до тех пор пока не решу проблему.
что могли оставить злоумышленники на сервере?
что именно мне теперь нужно убить, чтобы остановить спам идущий с сервака?

всем заранее спасибо за помощь. не могу сказать что сроки решения проблемы прям уж сильно поджимают, но чем дольше не будет работать почта, тем хуже.

[sciko]

сегодня секретурка попросила глянуть почему у неё начиная с 27-го числа нету почты. полез, просто ради интереса, на сервер, который у нас на Debian, глянул логи авторизации в /var/log и обнаружил 200 килобайтный файл лога, в котором начиная с 8 утра 25-го числа шли многочисленные попытки подборки пароля root.

Причины взлома:
1. очень слабый пароль рута (У тебя что пароль из 3 символов?).
2. не настроен фаерволл.

26-го числа вечером они увенчались успехом, что видно по логам.

Долго они чего-то...

что могли оставить злоумышленники на сервере?

Всё что угодно. Начиная от простого скриптика и заканчивая руткитом с заменой файлов окружения или правкой ядра.

что именно мне теперь нужно убить, чтобы остановить спам идущий с сервака?

По хорошему тебе надо полностью переставить систему/восстановить из бекапа.

всем заранее спасибо за помощь. не могу сказать что сроки решения проблемы прям уж сильно поджимают, но чем дольше не будет работать почта, тем хуже.

Будь я твоим начальником, я бы уже искал нового сотрудника на твоё место.

[CaypoH]

Причины взлома:
1. очень слабый пароль рута (У тебя что пароль из 3 символов?).
2. не настроен фаерволл.

да. пароль был слабый. только буквы и только одного регистра.
сам мейл-сервер ставил и настраивал не я. а другой человек который давно уволился. он же и пароль назначал. мне от него всё это "по наследству" досталось

Долго они чего-то...

согласно логам ночами и ранним утром ломали. днём бездействовали.

По хорошему тебе надо полностью переставить систему/восстановить из бекапа.

как ни печально - но помоему придётся делать первое, потому что бекапы никогда не производились. сам почтовый "сервер" это слабенькая машинка с винтом в примерно 5 гигабайт, копейками оперативки и т.д. для масштабных действий он не предназначался.

Будь я твоим начальником, я бы уже искал нового сотрудника на твоё место.

я работаю в аутсорсиноговой компании. мы много фирм админим. приезжаем в основном по принципу "когда что-то сломалось". именно поэтому никто и не замечал что у них почтовик ломают. на него и не заходил уже давно никто. в фирме почтовик этот отдельно стоит, интернет шлюз отдельно, вынь2003сервер под 1с-ку отдельно.
так что мой то начальник как раз вежливо просит потратить моё драгоценное время чтобы помочь фирмочке, которая жлобится нанимать постоянных админов

[sciko]

сам мейл-сервер ставил и настраивал не я. а другой человек который давно уволился. он же и пароль назначал. мне от него всё это "по наследству" досталось

Если досталось "по наследству" некоторое время назад, то вина твоя всё же есть: не проверил что принимаешь и не поправил. Если досталось только после возникновения проблемы, то к тебе претензий нет.

как ни печально - но помоему придётся делать первое, потому что бекапы никогда не производились. сам почтовый "сервер" это слабенькая машинка с винтом в примерно 5 гигабайт, копейками оперативки и т.д. для масштабных действий он не предназначался.

Самое время после установки сделать бекап.

в фирме почтовик этот отдельно стоит, интернет шлюз отдельно, вынь2003сервер под 1с-ку отдельно.

Какое расточительство! Предлагаю вариант минимальных переделок: почтовик и интернет-шлюз собрать на одной машине, а оставшуюся машину поставить в горячий резерв и еженедельно делать автоматом туда бекап. Есть вариант полной переделки: на одной физической машине создать 3 виртуальных машины. В первую поставить Линь, OpenLDAP, Вайн от Эверсофта и 1C (припугнуть штрафами за нелицензионку). На вторую почтовик + интернет-шлюз. А третью оставить про запас (на поиграться).

И советы напоследок:
1. настрой фаерволл с отсылкой предупреждений о всяком непонятном на e-mail.
2. настрой автоматическое обновление.
3. создай ещё несколько пользователей с ограниченными правами для проведения наиболее типичных работ.
4. вынь винт из компа и поставь Дебиан на него с более быстрого компа (так быстрее и удобнее).
5. Обязательно сделай полный бекап системы (влезет на 1 современный дивидюк).
6. Добавь в почтовик какой-нибудь антивирус (например, Clam -- он есть в репах).

[CaypoH]

Если досталось "по наследству" некоторое время назад, то вина твоя всё же есть: не проверил что принимаешь и не поправил. Если досталось только после возникновения проблемы, то к тебе претензий нет.

скорей и не то и не другое. досталось тогда, когда ставивший всё это дело админ уже ушёл. а вообще этот серверок уже кто только ни обслуживал. мне достался только мануал по которому, как мне сказали, почтовик настраивался.
вот он кстати
бекап обязательно сделаю

Какое расточительство!

и представь, при всём при этом они пользуются услугами аутсорсинговой компании.

почтовик и интернет-шлюз собрать на одной машине

разные провайдеры. один специально для почты, местный наш, почему то с трафиковым тарифом (почему - для меня загадка), другой для выхода в инет, безлимитный. к слову сказать, на инет-шлюзе тоже дебиан, и настроен так, что после перезагрузки автоматически не поднималась раздача. после пары "заявок" на неработающий инет меня это запарило и я малеха переделал настройки. железо там, я скажу, тоже далеко не блещет производительностью.
у меня уже засела идея развести хозяев этого бардака на одну более-менее приличную тачку, воткнуть туда саляру, и сделать шлюз с правильной раздаче инета по dhcp (у них щас ручками всё вбивается) и ограничением всяких контактов, одноклассников и прочей нечести.
п.с. пока писал связался с один одмином обслуживавшим этот почтовик, он говорит что там нет никакой аниспам защиты, потом что "она убивала некоторые нужные письма".

[sciko]

почтовик и интернет-шлюз собрать на одной машине

разные провайдеры.

Это не помеха. Если к разным провайдерам у них разные кабели идут, вынимаешь одну сетевуху (судя по размеру винта там должна стоять сетевуха в PCI-слот) и переносишь её в другой комп. Ну, а дальше дело техники и желания (например, сливаешь трафик в один и перенаправляешь на почтовик).

у меня уже засела идея развести хозяев этого бардака на одну более-менее приличную тачку, воткнуть туда саляру, и сделать шлюз с правильной раздаче инета по dhcp (у них щас ручками всё вбивается) и ограничением всяких контактов, одноклассников и прочей нечести.

Не люблю соляру (у неё компилятор закрытый). У меня к ней предубеждение. Лучше фряху или опенбсд.

[avial]

какой безграмотный админ,, 
почему я без образования айтишного на сервере fail2ban держу и он мне на предмет WARNING смсками отчитываетса раз в сутки . а люди имеющие и место работы и дипломы не могут такой простой вещи устроить, темболее на почтовике.