Через мой почтовый сервер рассылается много спама. спам использует псевдонимы, не принадлежащие зарегистрированным пользователям. в mailq вывод команды показывает такое сообщение:
487A1600698C2 1901 Пт 27 января 09:35:15 desarae_leclerc@mydomain.com (хост mx-eu.mail.am0.yahoodns.net [188.125.69.79] сказал: 421 4.7.0 [TSS04] Сообщения с www.xxx.yyy. zzz временно отложен из-за жалоб пользователей - 4.16.55.1; см. https://help.yahoo.com/kb/postmaster/SLN3434.html (в ответ на команду MAIL FROM)) h.anseur@yahoo.fr
491A4600698AE 1265 Пт 27 января 09:36:43 www-data@mail.mydomain.com (доставка временно приостановлена: потеряно соединение с mta5.am0.yahoodns.net [66.196.118.36] при отправке RCPT TO) ejbmarine_chik20@yahoo.com
4888D600698B9 1280 Пт 27 января 09:34:58 www-data@mail.mydomain.com (доставка временно приостановлена: потеряна связь с mta5.am0.yahoodns.net [66.196.118.36] при отправке RCPT TO) tiff549@yahoo.com
Как видите, даже пользовательские www-данные рассылают спам. Я запускаю команду postsuper -d ВСЕ чтобы удалить все электронные письма из очереди, но в том числе и действительные.
Я использую / etc / postfix / sender_access, чтобы занести в черный список всех псевдонимов или неавторизованных отправителей, на самом деле в файле более 8000 записей
Это результат postconf -n команда
alias_database = хэш: / etc / aliases
alias_maps = хэш: / etc / aliases
append_dot_mydomain = нет
biff = нет
broken_sasl_auth_clients = да
config_directory = / etc / postfix
content_filter = smtp-amavis: [127.0.0.1]: 10024
disable_vrfy_command = нет
inet_interfaces = все
mailbox_size_limit = 0
mydestination = mail, localhost.localdomain, localhost
myhostname = mail.mydomain.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0 impression/104 [:: 1] / 128 192.168.0.0/24 172.16.16.0/24
readme_directory = нет
recipient_delimiter = +
smtp_tls_session_cache_database = btree: $ {каталог_данных} / smtp_scache
smtpd_banner = mydomain.com Microsoft Exchange Server 2003
smtpd_client_restrictions = reject_rbl_client bl.spamcop.net, reject_rbl_client sbl.spamhaus.org,
smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining
smtpd_helo_required = да
smtpd_helo_restrictions = permission_mynetworks, permission_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname
smtpd_recipient_restrictions = check_recipient_access хэш: / etc / postfix / sender_access, allow_mynetworks, allow_sasl_authenticated, reject_unauth_destination, check_policy_service inet: 127.0.0.1: 10023
smtpd_sasl_auth_enable = да
smtpd_sasl_local_domain =
smtpd_sasl_path = частный / авторизация
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = голубятня
smtpd_sender_restrictions = хеш: / etc / postfix / sender_access, check_sender_access хеш: / etc / postfix / sender_access, allow_mynetworks, reject_sender_login_mismatch, reject_unknown_sender_domain ,reject_non_fqdnicated_sender_sender
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree: $ {каталог_данных} / smtpd_scache
smtpd_use_tls = да
virtual_alias_maps = LDAP: /etc/postfix/ldap-alias-maps.cf
virtual_gid_maps = статический: 5000
virtual_mailbox_base = /
virtual_mailbox_domains = mydomain.com
virtual_mailbox_maps = LDAP: /etc/postfix/ldap-mailbox-maps.cf
virtual_minimum_uid = 100
virtual_uid_maps = статический: 5000
Мне нужна помощь, чтобы остановить этот спам, пожалуйста
образец /var/log/mail.log
Jan 29 16:33:22 mail postfix/pickup[1960]: 312676037EE39: uid=33 from=<www-data>
Jan 29 16:33:22 mail postfix/cleanup[64497]: 312676037EE39: message-id=<20170129203322.312676037EE39@mail.mydomain.com>
Jan 29 16:33:22 mail postfix/qmgr[60188]: 312676037EE39: from=<www-data@mail.mydomain.com>, size=783, nrcpt=1 (queue active)
Jan 29 16:33:22 mail dovecot: imap-login: Login: user=<validuser>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=2213, secured, session=<MjoQnEFH3AB/AAAB>
Jan 29 16:33:22 mail dovecot: imap(validuser): Disconnected: Logged out in=93 out=837
Jan 29 16:33:22 mail postfix/pickup[1960]: 4DBEB6037EE3A: uid=33 from=<www-data>
Jan 29 16:33:22 mail postfix/cleanup[61997]: 4DBEB6037EE3A: message-id=<20170129203322.4DBEB6037EE3A@mail.mydomain.com>
Jan 29 16:33:22 mail postfix/qmgr[60188]: 4DBEB6037EE3A: from=<www-data@mail.mydomain.com>, size=844, nrcpt=1 (queue active)
Я использую debian 7, установил maldet, запускаю команду maldet -m / usr / местные / и он возвращает:
Linux Malware Detect v1.5
(C) 2002-2016, R-fx Networks <proj@rfxn.com>
(C) 2016, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(13019): {mon} existing inotify process detected (try -k): 53745
Но я не знаю, как использовать эту информацию для обнаружения вредоносного скрипта.
Что ж, если www-data отправляет СПАМ, это означает, что ваш веб-сервер был скомпрометирован.
Вы должны немедленно остановить свой веб-сервер и проверить его на предмет нежелательных скриптов и бэкдоров, используемых для рассылки СПАМА.
Вы можете использовать мальдет (https://www.rfxn.com/projects/linux-malware-detect/), чтобы найти подозрительные файлы.
Или используйте этот подход: https://blog.rimuhosting.com/2012/09/20/finding-spam-sending-scripts-on-your-server/
Если вы хотите по-настоящему сэкономить, проверьте свою базу данных или сделайте новую установку.
Я нашел решение
Первый большой шаг к окончательному решению произошел, когда служба apache2 была остановлена, также прекратилась отправка спам-писем, то есть письма отправлялись из скрипта php.
Следующим шагом было добавление следующих строк в php.ini
mail.add_x_header = On
mail.log = /var/log/phpmail.log
Эта страница поможет мне: https://blog.rimuhosting.com/2012/09/20/finding-spam-sending-scripts-on-your-server/
Назначьте файл var / log / phpmail.log пользователю и группе www-data
chgrp -R www-data /var/log/phpmail.log
chown -R www-data /var/log/phpmail.log
При перезапуске службы apache2 спамы вернулись, но на этот раз они были зарегистрированы в файле /var/log/phpmail.log
Остановите службу apache2 и найдите в /var/log/phpmail.log сценарии, вызывающие спам, это были файлы php, которые были помечены как php.suspected в папке wordpress на сервере Apache (/ var / www /). Удалите все эти файлы, и, поскольку я не использовал эту папку wordpress, я дал ей разрешение 440 оставаться доступным только для чтения.
Перезапустите службу apache2 и спам окончательно исчез.