У нас есть последняя версия Centos 5.8 с установленными и работающими без проблем Apache, Postfix и Dovecot.
Кто-то или что-то продолжает входить в систему postfix / dovecot как пользователь apache и рассылать спам на адреса электронной почты @ comcast.net. Записи журнала выглядят так:
Mar 13 13:33:34 postfix/smtpd[26456]: D05AE1A900BC: client=unknown[84.51.170.132], sasl_method=LOGIN, sasl_username=apache
Mar 13 13:33:35 postfix/cleanup[26460]: D05AE1A900BC: message-id=<20120313133334.D05AE1A900BC@xxxxxxxx.eu>
Mar 13 13:33:35 postfix/qmgr[2361]: D05AE1A900BC: from=<Comcast_Paydirect@comcast.net>, size=3576, nrcpt=1 (queue active)
Mar 13 13:33:36 postfix/smtp[27125]: D05AE1A900BC: to=<etepula51@yahoo.com>, relay=mta5.am0.yahoodns.net[209.191.88.254]:25, delay=1.9, delays=0.38/0/0.64/0.85, dsn=2.0.0, status=sent (250 ok dirdel)
Mar 13 13:33:36 postfix/qmgr[2361]: D05AE1A900BC: removed
--snip--
Mar 13 16:18:13 postfix/smtpd[13861]: E50DE1A90037: client=unknown[72.54.180.241], sasl_method=LOGIN, sasl_username=apache
Mar 13 16:18:19 postfix/cleanup[13867]: E50DE1A90037: message-id=<20120313161813.E50DE1A90037@xxxxxxxx.eu>
Mar 13 16:18:19 postfix/qmgr[2361]: E50DE1A90037: from=<Comcast_Paydirect@comcast.net>, size=3779, nrcpt=25 (queue active)
Mar 13 16:18:20 postfix/smtp[13868]: E50DE1A90037: to=<alvarenga9472@comcast.con>, relay=none, delay=6.4, delays=6.4/0/0.02/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=comcast.con type=A: Host not found)
Mar 13 16:18:22 postfix/smtp[13869]: E50DE1A90037: to=<altisb1@comcast.net>, relay=mx2.comcast.net[76.96.30.116]:25, delay=9, delays=6.4/0.01/1.1/1.5, dsn=5.1.1, status=bounced (host mx2.comcast.net[76.96.30.116] said: 550 5.1.1 Not our Customer (in reply to RCPT TO command))
Mar 13 16:18:23 postfix/smtp[13869]: E50DE1A90037: to=<alvinj.merrick@comcast.net>, relay=mx2.comcast.net[76.96.30.116]:25, delay=9.9, delays=6.4/0.01/1.1/2.3, dsn=5.1.1, status=bounced (host mx2.comcast.net[76.96.30.116] said: 550 5.1.1 <alvinj.merrick@comcast.net> Account not available (in reply to RCPT TO command))
--snip--
Mar 13 16:18:55 postfix/smtp[13869]: E50DE1A90037: to=<amanda_callaham@comcast.net>, relay=mx2.comcast.net[76.96.30.116]:25, delay=42, delays=6.4/0.01/1.1/35, dsn=2.0.0, status=sent (250 2.0.0 l4JL1i00l248zeQ0N4JMLQ mail accepted for delivery)
Mar 13 16:18:55 postfix/bounce[13870]: E50DE1A90037: sender non-delivery notification: A96601A900C9
Mar 13 16:18:55 postfix/qmgr[2361]: E50DE1A90037: removed
Это происходило дважды за последнее время, и явным признаком того, что это один и тот же человек / объект несет ответственность, является то, что они отправили свое первое электронное письмо на etepula51@yahoo.com. Они стараются отправлять только небольшое количество электронных писем в пакете по несколько минут, предположительно, чтобы избежать обнаружения и гарантировать, что наш сервер не заблокирован как ретранслятор спама.
Как можно пройти аутентификацию как apache и как это остановить?
Заранее спасибо за вашу помощь
Без более подробной информации нас будет сложно отследить. Например, вы не указываете, работает ли почтовый сервер на том же компьютере, что и веб-сервер. Вы также не упоминаете, как вы аутентифицируете клиентов с помощью Postfix (мы можем видеть там строку SASL, но к какому механизму аутентификации это относится? PAM? Отдельной базе данных? Простыми файлами?).
Я бы предположил, что ваша машина каким-то образом скомпрометирована. Судя по тому журналу, кто-то мог изменить теневой файл, чтобы разрешить вход с использованием apache имя пользователя (по умолчанию отключено, если вы его не изменили). Теперь они входят в систему с разных IP-адресов и используют постфикс для рассылки спама. Смотреть в /etc/shadow на apache линия и посмотрите, есть ли в ней !! во втором столбце:
apache:!!:
Либо эта, либо ваша конфигурация Postfix работает как открытый ретранслятор, и логин apache фактически не работает, но Postfix все равно принимает почту. Конфигурация Postfix по умолчанию: не работают как реле, поэтому в какой-то момент это должно было быть включено вами.
Вам нужно отследить, что могло произойти, и рассмотреть возможность очистки машины и восстановления из заведомо исправных резервных копий (у вас есть резервные копии, не так ли?).
Имеющиеся у вас IP-адреса выглядят так, как будто они взяты с взломанных машин, поскольку один является поставщиком широкополосного доступа, а другой - облачным хостом (так что, вероятно, это скомпрометированный веб-сервер).