Большая нагрузка от Postfix, как найти виновниика

2

2

Добрый времени суток! Последнее несколько дней LA сервера взлетело до 40. На сервере 60+ клиентов. При отключения постфика нагрузка уходит <0. Подскажите как найти виновника спама?

[root@srv1 ~]# postqueue -p| wc -l
363325

И эта цифра неуклонно растет.

Вот что в maillog
[root@srv1 ~]# tail /var/log/maillog
Jun 3 17:18:35 srv1 postfix/smtp[28134]: D186E77A317: to=<rickey.schramm76@flatscreens.dynamailbox.com>, relay=none, delay=84455, delays=84424/0.23/30/0, dsn=4.4.1, status=deferred (connect to flatscreens.dynamailbox.com[76.191.100.59]:25: Connection timed out)
Jun 3 17:18:35 srv1 postfix/smtp[28142]: BAEB276F32C: to=<scott@culturism-suplimente.net>, relay=none, delay=168219, delays=168189/0/30/0, dsn=4.4.1, status=deferred (connect to mail.culturism-suplimente.net[178.33.146.129]:25: Connection timed out)
Jun 3 17:18:35 srv1 postfix/smtp[28133]: D7D6E763624: to=<gyhfg@ko.org.pl>, relay=none, delay=167335, delays=167304/0.23/30/0, dsn=4.4.1, status=deferred (connect to ko.org.pl[85.128.134.253]:25: Connection timed out)
Jun 3 17:18:35 srv1 postfix/smtp[27917]: connect to live.co[64.4.6.100]:25: Connection timed out
Jun 3 17:18:35 srv1 postfix/smtp[27928]: connect to verion.net[109.234.109.20]:25: Connection timed out
Jun 3 17:18:36 srv1 postfix/smtp[27928]: connect to verion.net[213.128.138.236]:25: Connection refused
Jun 3 17:18:36 srv1 postfix/smtp[28138]: connect to nolisting.alfagraficaprod.com.ar[66.135.41.29]:25: Connection timed out
Jun 3 17:18:39 srv1 postfix/smtp[28138]: warning: 9BC86767AB3: non-ESMTP response from mx2.alfagraficaprod.com.ar[76.74.198.251]:25: Has superado la cantidad de destinatarios desconocidos permitida (#5.3.0)
Jun 3 17:18:39 srv1 postfix/smtp[28138]: warning: to prevent loss of mail, turn off command pipelining for 76.74.198.251 with the smtp_discard_ehlo_keyword_address_maps parameter
Jun 3 17:18:39 srv1 postfix/smtp[28138]: 9BC86767AB3: lost connection with mx2.alfagraficaprod.com.ar[76.74.198.251] while sending DATA command

Ссылка

←	warning: problem talking to server 127.0.0.1:7777: Success

Mesh сеть. Рецепт

→

очередь забита?

axelroot ★
(03.06.15 14:46:11 MSK)

Ответ на: комментарий от axelroot 03.06.15 14:46:11 MSK

Postfix источник NDN spam (backscatter) (комментарий)

axelroot ★
(03.06.15 14:47:27 MSK)

Ответ на: комментарий от axelroot 03.06.15 14:47:27 MSK

Спасибо, изучил материал. После внедрения новых правил LA упал до 5-10.

Остается главный вопрос, как найти источник спама.

Sky4eg ★
(03.06.15 16:13:05 MSK) автор топика

Ответ на: комментарий от Sky4eg 03.06.15 16:13:05 MSK

lsof -i | grep smtp
и посмотреть на pid, которого там не должно быть
lsof -p pid

И покажи детали парочки отправленных спамерских писем

samarin
(03.06.15 17:19:31 MSK)

Ответ на: комментарий от samarin 03.06.15 17:19:31 MSK

[root@srv1 public_html]# lsof -i | grep smtp
smtp 10532 postfix 14u IPv4 340354155 0t0 TCP srv1.mysite.kz:42915->191.236.192.121:smtp (SYN_SENT)
smtp 11063 postfix 14u IPv4 340354121 0t0 TCP srv1.mysite.kz:44736->gate.viarail.ca:smtp (SYN_SENT)
smtp 11114 postfix 14u IPv4 340356195 0t0 TCP srv1.mysite.kz:54737->windonws.com.br:smtp (SYN_SENT)
smtp 11166 postfix 14u IPv4 340354272 0t0 TCP srv1.mysite.kz:57510->147.62.236.23.bc.googleusercontent.com:smtp (SYN_SENT)
smtp 11400 postfix 14u IPv4 340351312 0t0 TCP srv1.mysite.kz:39871->64.233.163.18:smtp (SYN_SENT)
smtp 11405 postfix 14u IPv4 340356137 0t0 TCP srv1.mysite.kz:41359->64.233.187.26:smtp (ESTABLISHED)
master 21529 root 13u IPv4 338976075 0t0 TCP *:smtp (LISTEN)

pid'ы всегда меняются, как найти «ненужный»? И где посмотреть детали отправленных писем?

Sky4eg ★
(03.06.15 18:22:40 MSK) автор топика

Покажи конфиг Postfix. Небось у тебя там Open Relay и спамеры овладевают

Pinkbyte ★★★★★
(03.06.15 18:26:11 MSK)

Ответ на: комментарий от Pinkbyte 03.06.15 18:26:11 MSK

http://pastebin.com/6GsMLLXe

Sky4eg ★
(03.06.15 20:38:32 MSK) автор топика

Ссылка

Ответ на: комментарий от Sky4eg 03.06.15 18:22:40 MSK

Детали смотрятся в логе по номеру очереди.
Согласен с Pinkbite - проверь сервер на open relay.
Например тут http://www.spamhelp.org/shopenrelay/

samarin
(04.06.15 02:16:31 MSK)

Ответ на: комментарий от samarin 04.06.15 02:16:31 MSK

Testing 178.xxx.xxx.xxx on port 25... successful! - the SMTP server is NOT an open relay.

Sky4eg ★
(04.06.15 05:53:29 MSK) автор топика

Ответ на: комментарий от Sky4eg 04.06.15 05:53:29 MSK

pid'ы всегда меняются, как найти «ненужный»?

В данном случае ненужный - все кто не postfix
Попробуй что-то вроде
while true do sudo lsof -i | grep smtp | grep -v ^postfix sleep 10 done

И где посмотреть детали отправленных писем?

Сбрось лог за пару часов

samarin
(04.06.15 10:18:32 MSK)

Ответ на: комментарий от samarin 04.06.15 10:18:32 MSK

http://pastebin.com/Wms7RhK7

Сбрось лог за пару часов

это /var/log/maillog?

Sky4eg ★
(05.06.15 08:24:30 MSK) автор топика

Ответ на: комментарий от Sky4eg 05.06.15 08:24:30 MSK

master - это postfix-a. Подправь скрипт
lsof -i | grep smtp | egrep -v ^(postfix|master)
Подержи немного подольше. Злодей может отрабатывать и раз в десять минут

это /var/log/maillog?

Да, он самый

samarin
(05.06.15 10:31:49 MSK)

Ответ на: комментарий от samarin 05.06.15 10:31:49 MSK

наверно около часа отработал скрипт
http://pastebin.com/yxAm3nV9

вот последние 10000 строк maillog
https://www.dropbox.com/s/15fn6s9sn1qpg4i/maillog.txt?dl=0
мне кажется спамер пользователь u003 с uid=502

Sky4eg ★
(05.06.15 11:59:17 MSK) автор топика

Ответ на: комментарий от Sky4eg 05.06.15 11:59:17 MSK

мне кажется спамер пользователь u003 с uid=502

Все верно, компьютер пользователя u003 заражен kelihos spambot-ом

samarin
(05.06.15 14:34:16 MSK)

Ответ на: комментарий от samarin 05.06.15 14:34:16 MSK

А как вы определили название спамбота?

Sky4eg ★
(05.06.15 19:43:24 MSK) автор топика

Ответ на: комментарий от Sky4eg 05.06.15 19:43:24 MSK

Да вроде в логах было достаточно информации.
Удалось решить проблему?
И добавьте rate_limit, тогда один пользователь не сможет делать большую нагрузку
smtpd_client_connection_rate_limit smtpd_client_message_rate_limit smtpd_client_recipient_rate_limit

samarin
(07.06.15 18:17:56 MSK)