Идет рассылка с рута. Postfix+dovecot+centos+nginx

0

1

Недавно обнаружил что с почты root@*mydomain* идут рассылки на левые ящики. Сам ящик рута отключен в postfixadmin. Папки исходящие нет. Не знаю как посмотреть какие письма отправить пытается и самое главное выглядит как спам-рассылка, по 10-15 сообщений в день в разное время. ClamAV вирусы не нашел. Смена пароля на руте не привела ни к чему. Может кто знает что это и куда смотреть?

Какие логи и конфиги предоставить в первую очередь?

Вот лог отправки письма с рута:

Jul 16 05:55:40 mail opendkim[25902]: 9B0D53766737: DKIM-Signature field added (s=mail, d=*mydomain*)
Jul 16 05:55:40 mail postfix/qmgr[4310]: 9B0D53766737: from=<root@*mydomain*>, size=4243, nrcpt=1 (queue active)
Jul 16 05:55:40 mail postfix/smtp[29993]: 854DC3766731: to=<galonsoma@pep.pemex.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.25, delays=0.07/0/0.04/0.14, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 9B0D53766737)
Jul 16 05:56:11 mail postfix/smtp[30121]: 9B0D53766737: to=<galonsoma@pep.pemex.com>, relay=none, delay=30, delays=0.14/0/30/0, dsn=4.4.1, status=deferred (connect to pep.pemex.com[200.23.91.68]:25: Connection timed out)

И вот

Jul 15 18:05:59 mail postfix/smtpd[22261]: 028943766740: client=localhost[127.0.0.1]
Jul 15 18:05:59 mail postfix/cleanup[22263]: 028943766740: message-id=<20200715150558.E0C84376673F@*mydomain*>
Jul 15 18:05:59 mail opendkim[25902]: 028943766740: DKIM-Signature field added (s=mail, d=*mydomain*)
Jul 15 18:05:59 mail postfix/qmgr[4310]: 028943766740: from=<root@*mydomain*>, size=7414, nrcpt=1 (queue active)
Jul 15 18:05:59 mail postfix/smtp[22258]: E0C84376673F: to=<gallerojr@live.com.mx>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.23, delays=0.08/0/0.04/0.11, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 028943766740)
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: host nam.olc.protection.outlook.com[104.47.56.161] said: 451 4.7.650 The mail server [*myipserver*] has been temporarily rate limited due to IP reputation. For e-mail delivery information, see https://postmaster.live.com (S775) [CO1NAM11FT061.eop-nam11.prod.protection.outlook.com] (in reply to MAIL FROM command)
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: lost connection with nam.olc.protection.outlook.com[104.47.56.161] while sending RCPT TO
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: to=<gallerojr@live.com.mx>, relay=nam.olc.protection.outlook.com[104.47.58.161]:25, delay=1.9, delays=0.11/0/1.7/0.16, dsn=5.5.0, status=bounced (host nam.olc.protection.outlook.com[104.47.58.161] said: 550 5.5.0 Requested action not taken: mailbox unavailable (S2017062302). (in reply to RCPT TO command))
Jul 15 18:06:01 mail postfix/bounce[22686]: 028943766740: sender non-delivery notification: 0F2B53766744
Jul 15 18:06:01 mail postfix/qmgr[4310]: 028943766740: removedJul 15 18:05:59 mail postfix/smtpd[22261]: 028943766740: client=localhost[127.0.0.1]
Jul 15 18:05:59 mail postfix/cleanup[22263]: 028943766740: message-id=<20200715150558.E0C84376673F@*mydomain*>
Jul 15 18:05:59 mail opendkim[25902]: 028943766740: DKIM-Signature field added (s=mail, d=*mydomain*)
Jul 15 18:05:59 mail postfix/qmgr[4310]: 028943766740: from=<root@*mydomain*>, size=7414, nrcpt=1 (queue active)
Jul 15 18:05:59 mail postfix/smtp[22258]: E0C84376673F: to=<gallerojr@live.com.mx>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.23, delays=0.08/0/0.04/0.11, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 028943766740)
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: host nam.olc.protection.outlook.com[104.47.56.161] said: 451 4.7.650 The mail server [*myipserver*] has been temporarily rate limited due to IP reputation. For e-mail delivery information, see https://postmaster.live.com (S775) [CO1NAM11FT061.eop-nam11.prod.protection.outlook.com] (in reply to MAIL FROM command)
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: lost connection with nam.olc.protection.outlook.com[104.47.56.161] while sending RCPT TO
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: to=<gallerojr@live.com.mx>, relay=nam.olc.protection.outlook.com[104.47.58.161]:25, delay=1.9, delays=0.11/0/1.7/0.16, dsn=5.5.0, status=bounced (host nam.olc.protection.outlook.com[104.47.58.161] said: 550 5.5.0 Requested action not taken: mailbox unavailable (S2017062302). (in reply to RCPT TO command))
Jul 15 18:06:01 mail postfix/bounce[22686]: 028943766740: sender non-delivery notification: 0F2B53766744
Jul 15 18:06:01 mail postfix/qmgr[4310]: 028943766740: removed

Ссылка

←	Пинги у нас хорошие, большие!

Достать данные из SQL

→

← 1 2 →

открытое реле? по какому ману настраивали postfix? возьмите любой онлайн тестер домена (https://mxtoolbox.com/diagnostic.aspx), введите почтовый домен и посмотрите что скажет.

SMTP Open Relay 	OK - Not an open relay.

~~Spoofing~~ ★★★★★
(16.07.20 10:12:25 MSK)

Ответ на: комментарий от Spoofing 16.07.20 10:12:25 MSK

Релей закрыт точно. Тулбокс выдал именно то, что вы написали

SMTP Open Relay OK - Not an open relay.

554 5.7.1 test@mxtoolboxsmtpdiag.com: Relay access denied [740 ms]

maximice
(16.07.20 10:54:14 MSK) автор топика

Ссылка

Авторизация пользователей через PAM/Unix настроена? В /etc/aliases кто соответствует root? Какие smtpd restrictions настроены? В localnetworks что указано?

devilinside
(16.07.20 11:05:21 MSK)

Ещё следует проверить mail.rc глобальный и пользовательские, но это после разрешений postfix.

devilinside
(16.07.20 11:11:17 MSK)

Ссылка

Ответ на: комментарий от devilinside 16.07.20 11:05:21 MSK

PAM/Unix - вроде нет. Настраивал по мануалу -

https://www.dmosk.ru/instruktions.php?object=postfix-centos

etc/aliases - нет такого каталога.

Рестракшены:

smtpd_client_restrictions =
        permit_mynetworks
        white_client
        white_client_ip
        black_client
        black_client_ip
        permit_sasl_authenticated
        reject_unauth_pipelining
        permit

smtpd_helo_restrictions =
        permit_mynetworks
        white_client_ip
        white_helo
        black_client_ip
        block_dsl

smtpd_sender_restrictions =
        permit_mynetworks
        white_client
        black_client
        white_client_ip
        black_client_ip
        permit_sasl_authenticated
        reject_non_fqdn_sender
        reject_unknown_sender_domain
        mx_access
        reject_authenticated_sender_login_mismatch
        reject_unlisted_sender
        reject_unauth_destination
        reject_unverified_sender
        check_sender_access hash:/etc/postfix/sender_access
#
        permit

smtpd_relay_restrictions =
        permit_mynetworks
        black_client
        black_client_ip

smtpd_recipient_restrictions =

        permit_mynetworks
        white_client
        white_client_ip
        black_client
        black_client_ip
        reject_unlisted_recipient
        permit_sasl_authenticated
        reject_non_fqdn_recipient
        reject_unauth_destination
        reject_unknown_recipient_domain
        reject_unverified_recipient
        reject_unknown_reverse_client_hostname
    #
        reject_unknown_client_hostname
        reject_rbl_client bl.spamcop.net
        reject_rbl_client cbl.abuseat.org
        reject_rbl_client dul.ru
        reject_rbl_client dnsbl.abuse.ch
        #
        permit

smtpd_data_restrictions =
        permit

smtpd_end_of_data_restrictions =
        permit

maximice
(16.07.20 11:18:34 MSK) автор топика

Ответ на: комментарий от maximice 16.07.20 11:18:34 MSK

конфиг в формате разрешено всё, что не запрещено. Приведя конфиг к формату «Запрещено всё, что не разрешено», будет легче понимать, что вообще может слать.
smtpd_relay_restrictions совсем не заполнены?

Приведите конфиг к формату запрещено всё, что не разрешено, указав restrictions к примеру так:
smtpd_client_restrictions = permit_sasl_authenticated,
...
reject

если у вас письма не должны слаться с самого хоста, удалите localhost, 127.0.0.1 и ::1 из mynetworks.
можете ограничить отправку, указав, какому пользователю можно отправлять письма, например:
authorized_submit_users = postfix, nginx

и проверьте, что в master.cf через -o ничего не переопределяется.

devilinside
(16.07.20 12:16:41 MSK)

Подмени bin/sendmail на врапер, который будет в лог писать кто его вызвал. Они разные гуглятся, на perl, php и т.п., и достаточно простые в основном. Даже если без лога, там дописать вызов logger не сложно. Такое впечатление, что кто-то локально рассылает. Это не веб-сервер кстати?

UPD: про Dovecot прочитал. Там никто на Sieve ничего не добавил?

AS ★★★★★
(16.07.20 12:54:58 MSK)
Последнее исправление: AS 16.07.20 12:57:23 MSK (всего исправлений: 2)

Ответ на: комментарий от devilinside 16.07.20 12:16:41 MSK

Я правильно понял, что permit просто поменять на reject?

А что тогда останется в mynetworks? У меня там ничего кроме localhost. Может мне просто убрать permit_mynetworks?

master.cf с параметрами -o:

submission     inet  n       -       n       -       -       smtpd
    -o smtpd_tls_security_level=may
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_sasl_type=dovecot
    -o smtpd_sasl_path=/var/spool/postfix/private/auth
    -o smtpd_sasl_security_options=noanonymous
    -o smtpd_sasl_local_domain=$myhostname

smtps      inet n - n - - smtpd
    -o syslog_name=postfix/smtps
    -o smtpd_tls_wrappermode=yes
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_client_restrictions=permit_sasl_authenticated,reject

dovecot    unix  -       n       n       -        -       pipe
    flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -d ${recipient}

scan unix - - n - 16 smtp
     -o smtp_send_xforward_command=yes
     -o smtp_enforce_tls=no

127.0.0.1:10026 inet n - n - 16 smtpd
    -o content_filter=
    -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
    -o smtpd_helo_restrictions=
    -o smtpd_client_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks_style=host

maximice
(16.07.20 13:33:29 MSK) автор топика

Ссылка

Ответ на: комментарий от AS 16.07.20 12:54:58 MSK

Вебморда есть - Roundcube, если об этом. Проверил. Sieve не менялся.

maximice
(16.07.20 13:36:33 MSK) автор топика
Последнее исправление: maximice 16.07.20 13:37:21 MSK (всего исправлений: 1)

Ответ на: комментарий от maximice 16.07.20 13:36:33 MSK

Вебморда есть - Roundcube, если об этом.

В какой-то мере. Вообще, раз соединение с 127.0.0.1 фиксируется, это похоже на какого-то локального smtp-клиента. Но вот кто это. Врапер прикрути, хотябы отсечёшь отправку через bin/sendmail, потому как в первом примере про 127.0.0.1 не написано, может там разные варианты есть.

AS ★★★★★
(16.07.20 14:52:14 MSK)

Ответ на: комментарий от AS 16.07.20 14:52:14 MSK

bin/sendmail - у меня вообще такой службы там нет.

maximice
(16.07.20 14:55:23 MSK) автор топика

Ответ на: комментарий от maximice 16.07.20 14:55:23 MSK

bin/sendmail - у меня вообще такой службы там нет.

Это не служба, а локально вызываемый исполняемый файл. Изначально у Sendmail, но так как за него было много завязано, врапер есть в комплекте популярных MTA, у Постфикс тоже. Это то, что в php.ini например прописывается в sendmail_path и используется функцией mail(). Строка на совпадение, обычно он лежит в /usr/sbin, но поиском как раз по bin/sendmail найдётся точно. Тебе надо врапер к враперу рядом положить.

AS ★★★★★
(16.07.20 15:01:13 MSK)
Последнее исправление: AS 16.07.20 15:02:20 MSK (всего исправлений: 1)

Ответ на: комментарий от AS 16.07.20 15:01:13 MSK

пробую враппер по вот этому гайду:

https://kb.justhost.ru/article/1434

maximice
(16.07.20 15:04:39 MSK) автор топика

Ответ на: комментарий от maximice 16.07.20 15:04:39 MSK

Как-то так. Если не поможет, через iptables owner в OUTPUT запрети отправку по SMTP всем, кроме того пользователя, под которым Postfix работает. В общем загони на использование врапера. Ну и через -j LOG заодно узнаешь, кто вообще в smtp тычется, хотя тут только юзера узнаешь, а это может оказаться nginx. Но хоть что-то.

Это вот для Sendmail, но под Postfix по пользователям адаптируешь:

-A OUTPUT -p tcp -m multiport --dports 25,587 -m owner --uid-owner smmsp -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,587 -m owner --uid-owner root -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,587 -j LOG --log-uid --log-prefix "LOCAL_SPAM "
-A OUTPUT -p tcp -m multiport --dports 25,587 -j REJECT

AS ★★★★★
(16.07.20 15:17:19 MSK)
Последнее исправление: AS 16.07.20 15:33:23 MSK (всего исправлений: 4)

Ответ на: комментарий от AS 16.07.20 15:17:19 MSK

По гайду выше нашел 2 строчки:

X-Additional-Header: /var/spool/postfix

X-Additional-Header: /root

Только вот я в этих папках не вижу скриптов

maximice
(16.07.20 16:21:39 MSK) автор топика
Последнее исправление: maximice 16.07.20 16:25:07 MSK (всего исправлений: 2)

Ответ на: комментарий от maximice 16.07.20 16:21:39 MSK

По гайду выше нашел 2 строчки:

Кстати вспомнил, что я тут когда-то пару ссылок давал на варианты враперов:
Борьба со спамерами (функция php mail) (комментарий)

Мне кажется, что с добавлением в заголовок сообщения удобнее.

Только вот я в этих папках не вижу скриптов

Значит кто-то сначала в них переходит. Но опять же вопрос, тот ли это засветился. Ещё можно понадеяться, что это php, а в php.ini есть «mail.add_x_header». Надо сделать on, потом в этих сообщениях смотреть.

AS ★★★★★
(16.07.20 17:15:57 MSK)

Не знаю как посмотреть какие письма отправить пытается

Через sender_bсc можно посмотреть.

~~Bootmen~~ ☆☆☆
(16.07.20 18:05:34 MSK)

Ответ на: комментарий от AS 16.07.20 17:15:57 MSK

mail.add_x_header включен был с самого начала

maximice
(21.07.20 09:06:57 MSK) автор топика

Ссылка

Ответ на: комментарий от Bootmen 16.07.20 18:05:34 MSK

Подскажите, пожалуйста, как именно?

maximice
(22.07.20 09:32:38 MSK) автор топика

Ответ на: комментарий от maximice 22.07.20 09:32:38 MSK

В main.cf

sender_bcc_maps =  hash:/etc/postfix/list/sender_bcc

Файл /etc/postfix/list/sender_bcc

root@mydomen.ru  ялюбимый@mydomen.ru

делаем команду:

postmap /etc/postfix/list/sender_bcc

Вот вкратце

~~Bootmen~~ ☆☆☆
(22.07.20 10:26:27 MSK)

Ответ на: комментарий от Bootmen 22.07.20 10:26:27 MSK

Я так понимаю что все письма с ящика, с которого идет спам будут приходить на ялюбимый@mydomen.ru, вместо отправителя? Или только копии писем?

maximice
(22.07.20 11:31:00 MSK) автор топика

Ответ на: комментарий от maximice 22.07.20 11:31:00 MSK

Копии будут приходить.

После исправление не забудьте

postfix reload

параметр

sender_bcc_maps =

возможно уже есть в вашем конфиге, делайте дописку хеша в его конец.

~~Bootmen~~ ☆☆☆
(22.07.20 11:37:36 MSK)

Ответ на: комментарий от Bootmen 22.07.20 11:37:36 MSK

Создал. Буду выжидать. Спасибо

maximice
(22.07.20 11:48:26 MSK) автор топика

Так а что в mynetworks то включено?

targitaj ★★★★★
(22.07.20 11:49:53 MSK)

Ссылка

Ответ на: комментарий от Bootmen 22.07.20 11:37:36 MSK

Обычно забывают сделать postmap

targitaj ★★★★★
(22.07.20 11:50:21 MSK)

Ответ на: комментарий от targitaj 22.07.20 11:50:21 MSK

mynetworks = 127.0.0.0/8

postmap на что? На sender_bcc postmap я сделал.

maximice
(22.07.20 11:59:45 MSK) автор топика

Ссылка

Ответ на: комментарий от maximice 22.07.20 11:48:26 MSK

Отпишитесь если кого выловите. Самому интересно.

~~Bootmen~~ ☆☆☆
(22.07.20 13:09:51 MSK)

Ответ на: комментарий от Bootmen 22.07.20 13:09:51 MSK

что то не сработало.Добавил в конец main.cf bcc_sender. прописал через пробел от коо кому копию.сделал постмап и ребутнул постфикс.Спам пошел,а копия не пришла.

maximice
(22.07.20 17:38:02 MSK) автор топика

Ответ на: комментарий от maximice 22.07.20 17:38:02 MSK

Вру. Сработало

maximice
(22.07.20 17:56:08 MSK) автор топика

Ответ на: комментарий от maximice 22.07.20 17:56:08 MSK

Некая avisos-ScotiaWEB. Что это мне дало? Как дальше действовать не подскажите?Явно скрипт. Как бы его местонахождение простым способном найти

maximice
(22.07.20 17:57:49 MSK) автор топика
Последнее исправление: maximice 22.07.20 18:23:48 MSK (всего исправлений: 1)

Ответ на: комментарий от maximice 22.07.20 17:57:49 MSK

Попробовал открыть письмо, нигде не фигурирует никакой скрипт…я уже запутался где его искать

maximice
(22.07.20 18:52:34 MSK) автор топика

Ответ на: комментарий от maximice 22.07.20 18:52:34 MSK

Смотри подробности в исходном коде письма.

Thunderbird > Больше > Показать исходник.

Кстати гугля выдал:

ScotiaWeb , онлайн-банкинг .

~~Bootmen~~ ☆☆☆
(23.07.20 06:10:54 MSK)
Последнее исправление: Bootmen 23.07.20 06:22:10 MSK (всего исправлений: 1)

Ответ на: комментарий от Bootmen 23.07.20 06:10:54 MSK

Вот исходник Как я и сказал в нем нет строки, указывающей на скрипт


Return-Path: <root@mydomain>
Delivered-To: im@mydomain
Received: from mydomain (localhost [127.0.0.1])
	by mydomain (Postfix) with ESMTP id D537D226096B
	for <aeim@prodigy.net.mx>; Wed, 22 Jul 2020 21:02:18 +0300 (MSK)
DKIM-Filter: OpenDKIM Filter v2.11.0 mydomain D537D226096B
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mydomain;
	s=mail; t=1595440938;
	bh=OgaKe3dFcgzv4v1xLDar3AGvvGxm1HiTibuIW3Krsbs=;
	h=From:To:Reply-To:Date:Subject:From;
	b=U6IVTviPFVKklcH9H9HebLDQ3oKq/zekkyUpZ6Kye+jkPxvtEM+FfgEptDlW0e02i
	 mTu9APUUTayXkAgjihmGiWbQTYPUJNZYI31orBF7ESfbDEo9S676vn81/z2WCMDFMt
	 LtqFrOCvKZA+i3BoGeEuCKCyq2EOMhNdiDfUoDGA=
Received: by mydomain (Postfix, from userid 1025)
	id 955792260969; Wed, 22 Jul 2020 21:02:18 +0300 (MSK)
DKIM-Filter: OpenDKIM Filter v2.11.0 mydomain 955792260969
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mydomain;
	s=mail; t=1595440938;
	bh=OgaKe3dFcgzv4v1xLDar3AGvvGxm1HiTibuIW3Krsbs=;
	h=From:To:Reply-To:Date:Subject:From;
	b=U6IVTviPFVKklcH9H9HebLDQ3oKq/zekkyUpZ6Kye+jkPxvtEM+FfgEptDlW0e02i
	 mTu9APUUTayXkAgjihmGiWbQTYPUJNZYI31orBF7ESfbDEo9S676vn81/z2WCMDFMt
	 LtqFrOCvKZA+i3BoGeEuCKCyq2EOMhNdiDfUoDGA=
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on mydomain
X-Spam-Level: *
X-Spam-Status: No, score=1.8 required=5.0 version=3.4.0
Received: from hwc-hwp-5896560 (hwsrv-754979.hostwindsdns.com [142.11.211.126])
	by mydomain (Postfix) with ESMTP id B17EF2260971
	for <aeim@prodigy.net.mx>; Wed, 22 Jul 2020 21:02:16 +0300 (MSK)
DKIM-Filter: OpenDKIM Filter v2.11.0 mydomain B17EF2260971
MIME-Version: 1.0
From: aviso-SAT <root@mydomain>
To: aeim@prodigy.net.mx
Reply-To: aviso-SAT <aviso@scoti.com.mx>
Date: 22 Jul 2020 11:02:16 -0700
Subject: =?utf-8?B?VXLWgdC11bh00LUgLSBBY3TVvdCwbGl60LAgdM+FcyDUgdCwdM6/cyBkZSDRgdaFbnRh0YF01oUu?=
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: base64
Message-Id: <20200722180218.955792260969@mydomain>
X-Virus-Scanned: ClamAV using ClamSMTP

maximice
(23.07.20 09:11:27 MSK) автор топика
Последнее исправление: maximice 23.07.20 09:13:06 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Bootmen 23.07.20 06:10:54 MSK

Блин, не было весь день и вот опять. Может есть еще варианты?

maximice
(23.07.20 16:30:43 MSK) автор топика

Ответ на: комментарий от maximice 23.07.20 16:30:43 MSK

Действительно: XMailer или User-agent отстутствуют в заголовках

А вот это что?

Received: from hwc-hwp-5896560 (hwsrv-754979.hostwindsdns.com

Походу ему permit обьявлен. У вас в конфиге белых списков напихано немеренно. В них заглядывали?

~~Bootmen~~ ☆☆☆
(23.07.20 16:36:47 MSK)

Ответ на: комментарий от Bootmen 23.07.20 16:36:47 MSK

В списках не нашел.

maximice
(23.07.20 16:45:07 MSK) автор топика

Ответ на: комментарий от maximice 23.07.20 16:45:07 MSK

Тогда парсите logmail на предмет аутификации из hwsrv-754979.hostwindsdns.com

~~Bootmen~~ ☆☆☆
(23.07.20 16:47:51 MSK)

Ответ на: комментарий от Bootmen 23.07.20 16:36:47 MSK

Посмотрел какой айпишник у hwsrv-754979.hostwindsdns.com и добавил его в черный список

maximice
(23.07.20 16:47:54 MSK) автор топика

Ответ на: комментарий от Bootmen 23.07.20 16:47:51 MSK

аутинтифакации по SSH? А то у меня он закрыт.

maximice
(23.07.20 16:49:28 MSK) автор топика

Ссылка

Ответ на: комментарий от maximice 23.07.20 16:47:54 MSK

добавил его в черный список

А толку? Судя по его виду это динамический IP

~~Bootmen~~ ☆☆☆
(23.07.20 16:50:35 MSK)

Ответ на: комментарий от Bootmen 23.07.20 16:50:35 MSK

Нашел вот это

Jul 23 16:28:17 mail postfix/smtpd[17911]: connect from hwsrv-754979.hostwindsdns.com[142.11.211.126]

maximice
(23.07.20 16:50:48 MSK) автор топика

Ссылка

Ответ на: комментарий от Bootmen 23.07.20 16:50:35 MSK

Судя по логам за 3 дня он не менялся

maximice
(23.07.20 16:51:24 MSK) автор топика

Ответ на: комментарий от maximice 23.07.20 16:51:24 MSK

Он логинился по SASL? Парсите logmail

~~Bootmen~~ ☆☆☆
(23.07.20 16:53:16 MSK)

Ответ на: комментарий от Bootmen 23.07.20 16:53:16 MSK

Кусок maillog

Jul 23 16:28:00 mail postfix/qmgr[26365]: F41672260984: from=<root@mydomain.ru>, size=8942, nrcpt=1 (queue active)
Jul 23 16:28:00 mail spamd[23994]: prefork: child states: BIIB
Jul 23 16:28:00 mail spamd[3378]: spamd: connection from localhost [127.0.0.1]:57672 to port 783, fd 5
Jul 23 16:28:00 mail spamd[3378]: spamd: setuid to spamd succeeded
Jul 23 16:28:00 mail spamd[3378]: spamd: processing message (unknown) for spamd:1025
Jul 23 16:28:00 mail postfix/pickup[22799]: 70F602260982: uid=1025 from=<root@mydomain.ru>
Jul 23 16:28:00 mail postfix/pipe[22700]: 32B502260981: to=<rramirezoo@hotmail.com>, relay=spamassassin, delay=2.4, delays=0.67/0/0/1.8, dsn=2.0.0, status=sent (delivered via spamassassin service)
Jul 23 16:28:00 mail postfix/qmgr[26365]: 32B502260981: removed
Jul 23 16:28:00 mail postfix/cleanup[22749]: 70F602260982: message-id=<20200723132800.70F602260982@mail.mydomain>
Jul 23 16:28:00 mail opendkim[25902]: 70F602260982: DKIM-Signature field added (s=mail, d=mydomain)
Jul 23 16:28:00 mail postfix/qmgr[26365]: 70F602260982: from=<root@mydomain>, size=9345, nrcpt=1 (queue active)
Jul 23 16:28:00 mail clamsmtpd: 1389B6: accepted connection from: 127.0.0.1
Jul 23 16:28:00 mail postfix/smtpd[23052]: connect from localhost[127.0.0.1]
Jul 23 16:28:00 mail postfix/smtpd[23052]: 9526A226097D: client=localhost[127.0.0.1]
Jul 23 16:28:00 mail postfix/cleanup[12906]: 9526A226097D: message-id=<20200723132800.70F602260982@mydomain>
Jul 23 16:28:00 mail opendkim[25902]: 9526A226097D: DKIM-Signature field added (s=mail, d=mydomain)
Jul 23 16:28:00 mail spamd[3377]: spamd: clean message (0.0/5.0) for spamd:1025 in 28.9 seconds, 12721936 bytes.
Jul 23 16:28:00 mail spamd[3377]: spamd: result: . 0 - ALL_TRUSTED,HTML_MESSAGE,MIXED_ES,T_REMOTE_IMAGE scantime=28.9,size=12721936,user=spamd,uid=1025,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=57036,mid=<9fef137d4662c7fb8fdb13f75dcd0bb8@mydomain>,autolearn=no autolearn_force=no
Jul 23 16:28:00 mail postfix/smtpd[17908]: warning: Recipient address rate limit exceeded: 31 from hwsrv-754979.hostwindsdns.com[142.11.211.126] for service smtp
Jul 23 16:28:00 mail spamd[23994]: prefork: child states: IBIB
Jul 23 16:28:00 mail postfix/smtpd[17908]: lost connection after RCPT from hwsrv-754979.hostwindsdns.com[142.11.211.126]
Jul 23 16:28:00 mail postfix/smtpd[17908]: disconnect from hwsrv-754979.hostwindsdns.com[142.11.211.126]

maximice
(23.07.20 17:00:33 MSK) автор топика

Ответ на: Кусок maillog от maximice 23.07.20 17:00:33 MSK

Походу пароль рута уплыл. Вы убили одного и сразу появился другой жулик.

~~Bootmen~~ ☆☆☆
(23.07.20 17:03:58 MSK)

Ответ на: комментарий от Bootmen 23.07.20 17:03:58 MSK

Я пароли уже 3 раза менял. Еще раз сделать это? Да и как он конектится то, если не по SSH? Плюс ящика root нет же. В postfixadmin его нет.

maximice
(23.07.20 17:05:16 MSK) автор топика
Последнее исправление: maximice 23.07.20 17:07:32 MSK (всего исправлений: 2)

Ответ на: комментарий от maximice 23.07.20 17:05:16 MSK

Просмотреть внимательно файл aliases. Также как конектился -логинился например вчера

hwsrv-754979.hostwindsdns.com

В вашем логе он уже забанен.

~~Bootmen~~ ☆☆☆
(23.07.20 17:09:51 MSK)
Последнее исправление: Bootmen 23.07.20 17:10:19 MSK (всего исправлений: 1)

Ответ на: комментарий от Bootmen 23.07.20 17:09:51 MSK

Да вроде ничего лишнего.

mailer-daemon:  postmaster
postmaster:     root

# General redirections for pseudo accounts.
bin:            root
daemon:         root
adm:            root
lp:             root
sync:           root
shutdown:       root
halt:           root
mail:           root
news:           root
uucp:           root
operator:       root
games:          root
gopher:         root
ftp:            root
nobody:         root
radiusd:        root
nut:            root
dbus:           root
vcsa:           root
canna:          root
wnn:            root
rpm:            root
nscd:           root
pcap:           root
apache:         root
webalizer:      root
dovecot:        root
fax:            root
quagga:         root
radvd:          root
pvm:            root
amandabackup:           root
privoxy:        root
ident:          root
named:          root
xfs:            root
gdm:            root
mailnull:       root
postgres:       root
sshd:           root
smmsp:          root
postfix:        root
netdump:        root
ldap:           root
squid:          root
ntp:            root
mysql:          root
desktop:        root
rpcuser:        root
rpc:            root
nfsnobody:      root

ingres:         root
system:         root
toor:           root
manager:        root
dumper:         root
abuse:          root

newsadm:        news
newsadmin:      news
usenet:         news
ftpadm:         ftp
ftpadmin:       ftp
ftp-adm:        ftp
ftp-admin:      ftp
www:            webmaster
webmaster:      root
noc:            root
security:       root
hostmaster:     root
info:           postmaster
marketing:      postmaster
sales:          postmaster
support:        postmaster
# trap decode to catch security attacks
decode:         root

maximice
(23.07.20 17:15:02 MSK) автор топика

Ответ на: комментарий от maximice 23.07.20 17:15:02 MSK

Прикол. Сей смотрел ежедневный отчет LogWatch (советую поставить). Обнаружил попытку логина hwsrv-752326.hostwindsdns.com. У меня такие «логины» убиваются файлтубанов за две попытки на очччень длительный срок. Походу тебя долго долбили подбором парлей к почте. При вашем слабом конфиге и отсутствии fai2ban они добились успеха.

Кстати посылать письма от root@mydomen.ru может любой Залогинившийся узер. Если нет нужного параметра в main.cf У вас его нет. Поищите вИнете (или здесь)нормальный конфиг

~~Bootmen~~ ☆☆☆
(23.07.20 18:15:55 MSK)

Ответ на: комментарий от Bootmen 23.07.20 18:15:55 MSK

Прикол в том что логвотч у меня есть и fail2ban стоит с самого начала.

maximice
(24.07.20 09:29:01 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Пинги у нас хорошие, большие!

Admin

Достать данные из SQL

→

Кусок maillog

Похожие темы