Mon serveur de messagerie envoie beaucoup de spam à l'aide de mon domaine
De nombreux spams sont envoyés via mon serveur de messagerie. Le spam utilise des alias qui n'appartiennent pas à des utilisateurs enregistrés. dans
mailq
La sortie de la commande montre un tel message:
487A1600698C2 1901 Pt. 27 janvier 09:35:15 desarae_leclerc@mydomain.com (héberger mx-eu.mail.am0.yahoodns.net [188.125.69.79] mentionné: 421 4.7.0 [TSS04] Messages S. www.xxx.yyy. zzz temporairement reporté en raison des plaintes des utilisateurs - 4.16.55.1; cm.
https://help.yahoo.com/kb/postmaster/SLN3434.html
(En réponse à l'équipe MAIL FROM)) h.anseur@yahoo.fr
491A4600698AE 1265 Pt. 27 janvier 09:36:43 www-data@mail.mydomain.com (La livraison est temporairement suspendue: connexion perdue avec mta5.am0.yahoodns.net [66.196.118.36] Lors de l'envoi RCPT TO) ejbmarine_chik20@yahoo.com
4888D600698B9 1280 Pt. 27 janvier 09:34:58 www-data@mail.mydomain.com (La livraison est temporairement suspendue: une communication perdue avec mta5.am0.yahoodns.net [66.196.118.36] Lors de l'envoi RCPT TO) tiff549@yahoo.com
Comme vous pouvez le constater, même les données WWW personnalisées envoient du spam. Je lance l'équipe
postsuper -d TOUT
Pour supprimer tous les courriels de la file d'attente, mais y compris la validité.
j'utilise / etc / postfix / sender_access, Être sur la liste noire de tous les alias ou des expéditeurs non autorisés, en fait dans le fichier plus 8000 Record
C'est le résultat
postconf -n
équipe
alias_database = Hacher: / etc / aliases
alias_maps = Hacher: / etc / aliases
append_dot_mydomain = ne pas
biff = ne pas
broken_sasl_auth_clients = Oui
config_directory = / etc / postfix
content_filter = smtp-amavis: [127.0.0.1]: 10024
disable_vrfy_command = ne pas
inet_interfaces = tout
mailbox_size_limit = 0
mydestination = mail, localhost.localdomain, localhost
myhostname = mail.mydomain.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0 impression/104 [:: 1] / 128 192.168.0.0/24 172.16.16.0/24
readme_directory = ne pas
recipient_delimiter = +
smtp_tls_session_cache_database = btree: $ {Catalog_data} / smtp_scache
smtpd_banner = mydomain.com Microsoft Exchange Server 2003
smtpd_client_restrictions = reject_rbl_client bl.spamcop.net, reject_rbl_client sbl.spamhaus.org,
smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining
smtpd_helo_required = Oui
smtpd_helo_restrictions = permission_mynetworks, permission_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname
smtpd_recipient_restrictions = check_recipient_access Hacher: / etc / postfix / sender_access, allow_mynetworks, allow_sasl_authenticated, reject_unauth_destination, check_policy_service inet: 127.0.0.1: 10023
smtpd_sasl_auth_enable = Oui
smtpd_sasl_local_domain =
smtpd_sasl_path = privé / Autorisation
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = colombier
smtpd_sender_restrictions = Hacher: / etc / postfix / sender_access, check_sender_access Hacher: / etc / postfix / sender_access, allow_mynetworks, reject_sender_login_mismatch, reject_unknown_sender_domain ,reject_non_fqdnicated_sender_sender
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree: $ {Catalog_data} / smtpd_scache
smtpd_use_tls = Oui
virtual_alias_maps = LDAP: /etc/postfix/ldap-alias-maps.cf
virtual_gid_maps = statique: 5000
virtual_mailbox_base = /
virtual_mailbox_domains = mydomain.com
virtual_mailbox_maps = LDAP: /etc/postfix/ldap-mailbox-maps.cf
virtual_minimum_uid = 100
virtual_uid_maps = statique: 5000
J'ai besoin d'aide pour arrêter ce spam, s'il vous plaît
échantillon /var/log/mail.log
j'utilise debian 7, installée maldet, Lancer l'équipe
maldet -m / usr / Local /
Et il retourne:
Mais je ne sais pas comment utiliser ces informations pour détecter un script malveillant.
</ryan@rfxn.com></proj@rfxn.com></www-data@mail.mydomain.com></www-data></mjoqnefh3ab></validuser></www-data@mail.mydomain.com></www-data>
mailq
La sortie de la commande montre un tel message:
487A1600698C2 1901 Pt. 27 janvier 09:35:15 desarae_leclerc@mydomain.com (héberger mx-eu.mail.am0.yahoodns.net [188.125.69.79] mentionné: 421 4.7.0 [TSS04] Messages S. www.xxx.yyy. zzz temporairement reporté en raison des plaintes des utilisateurs - 4.16.55.1; cm.
https://help.yahoo.com/kb/postmaster/SLN3434.html
(En réponse à l'équipe MAIL FROM)) h.anseur@yahoo.fr
491A4600698AE 1265 Pt. 27 janvier 09:36:43 www-data@mail.mydomain.com (La livraison est temporairement suspendue: connexion perdue avec mta5.am0.yahoodns.net [66.196.118.36] Lors de l'envoi RCPT TO) ejbmarine_chik20@yahoo.com
4888D600698B9 1280 Pt. 27 janvier 09:34:58 www-data@mail.mydomain.com (La livraison est temporairement suspendue: une communication perdue avec mta5.am0.yahoodns.net [66.196.118.36] Lors de l'envoi RCPT TO) tiff549@yahoo.com
Comme vous pouvez le constater, même les données WWW personnalisées envoient du spam. Je lance l'équipe
postsuper -d TOUT
Pour supprimer tous les courriels de la file d'attente, mais y compris la validité.
j'utilise / etc / postfix / sender_access, Être sur la liste noire de tous les alias ou des expéditeurs non autorisés, en fait dans le fichier plus 8000 Record
C'est le résultat
postconf -n
équipe
alias_database = Hacher: / etc / aliases
alias_maps = Hacher: / etc / aliases
append_dot_mydomain = ne pas
biff = ne pas
broken_sasl_auth_clients = Oui
config_directory = / etc / postfix
content_filter = smtp-amavis: [127.0.0.1]: 10024
disable_vrfy_command = ne pas
inet_interfaces = tout
mailbox_size_limit = 0
mydestination = mail, localhost.localdomain, localhost
myhostname = mail.mydomain.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0 impression/104 [:: 1] / 128 192.168.0.0/24 172.16.16.0/24
readme_directory = ne pas
recipient_delimiter = +
smtp_tls_session_cache_database = btree: $ {Catalog_data} / smtp_scache
smtpd_banner = mydomain.com Microsoft Exchange Server 2003
smtpd_client_restrictions = reject_rbl_client bl.spamcop.net, reject_rbl_client sbl.spamhaus.org,
smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining
smtpd_helo_required = Oui
smtpd_helo_restrictions = permission_mynetworks, permission_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname
smtpd_recipient_restrictions = check_recipient_access Hacher: / etc / postfix / sender_access, allow_mynetworks, allow_sasl_authenticated, reject_unauth_destination, check_policy_service inet: 127.0.0.1: 10023
smtpd_sasl_auth_enable = Oui
smtpd_sasl_local_domain =
smtpd_sasl_path = privé / Autorisation
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = colombier
smtpd_sender_restrictions = Hacher: / etc / postfix / sender_access, check_sender_access Hacher: / etc / postfix / sender_access, allow_mynetworks, reject_sender_login_mismatch, reject_unknown_sender_domain ,reject_non_fqdnicated_sender_sender
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree: $ {Catalog_data} / smtpd_scache
smtpd_use_tls = Oui
virtual_alias_maps = LDAP: /etc/postfix/ldap-alias-maps.cf
virtual_gid_maps = statique: 5000
virtual_mailbox_base = /
virtual_mailbox_domains = mydomain.com
virtual_mailbox_maps = LDAP: /etc/postfix/ldap-mailbox-maps.cf
virtual_minimum_uid = 100
virtual_uid_maps = statique: 5000
J'ai besoin d'aide pour arrêter ce spam, s'il vous plaît
échantillon /var/log/mail.log
Jan 29 16:33:22 mail postfix/pickup[1960]: 312676037EE39: uid=33 from=<www-data>
Jan 29 16:33:22 mail postfix/cleanup[64497]: 312676037EE39: message-id=<20170129203322.312676037EE39@mail.mydomain.com>
Jan 29 16:33:22 mail postfix/qmgr[60188]: 312676037EE39: from=<www-data@mail.mydomain.com>, size=783, nrcpt=1 (queue active)
Jan 29 16:33:22 mail dovecot: imap-login: Login: user=<validuser>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=2213, secured, session=<mjoqnefh3ab aaab="">
Jan 29 16:33:22 mail dovecot: imap(validuser): Disconnected: Logged out in=93 out=837
Jan 29 16:33:22 mail postfix/pickup[1960]: 4DBEB6037EE3A: uid=33 from=<www-data>
Jan 29 16:33:22 mail postfix/cleanup[61997]: 4DBEB6037EE3A: message-id=<20170129203322.4DBEB6037EE3A@mail.mydomain.com>
Jan 29 16:33:22 mail postfix/qmgr[60188]: 4DBEB6037EE3A: from=<www-data@mail.mydomain.com>, size=844, nrcpt=1 (queue active)
j'utilise debian 7, installée maldet, Lancer l'équipe
maldet -m / usr / Local /
Et il retourne:
Linux Malware Detect v1.5
(C) 2002-2016, R-fx Networks <proj@rfxn.com>
(C) 2016, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(13019): {mon} existing inotify process detected (try -k): 53745
Mais je ne sais pas comment utiliser ces informations pour détecter un script malveillant.
</ryan@rfxn.com></proj@rfxn.com></www-data@mail.mydomain.com></www-data></mjoqnefh3ab></validuser></www-data@mail.mydomain.com></www-data>
Aucun résultat connexe trouvé
Invité:
Pour répondre aux questions, connectez-vous ou registre
2 réponses
Giselle
Confirmation de:
Vous devez immédiatement arrêter votre serveur Web et vérifier sur des scripts et des porte-retour indésirables utilisés pour envoyer du spam.
Vous pouvez utiliser mald (
https://www.rfxn.com/projects/ ... tect/
), Trouver des fichiers suspects.
Ou utilisez cette approche:
https://blog.rimuhosting.com/2 ... rver/
Si vous souhaitez réellement enregistrer, consultez votre base de données ou effectuez une nouvelle installation.
Babette
Confirmation de:
Le premier grand pas vers la solution finale s'est produit lorsque le service apache2 a été arrêté, a également cessé d'envoyer des lettres de spam, c'est-à-dire des lettres du script php.
La prochaine étape consistait à ajouter les lignes suivantes dans php.ini
Cette page m'aidera:
https://blog.rimuhosting.com/2 ... rver/
Attribuer le fichier var / log / phpmail.log utilisateur et groupe www-data
Lors du redémarrage du service apache2 Le spam est retourné, mais cette fois, ils ont été enregistrés dans le fichier /var/log/phpmail.log
Arrêter le service apache2 et trouver B. /var/log/phpmail.log Scénarios de spam, ceux-ci étaient des fichiers php, qui ont été étiquetés comme php.suspected dans le dossier wordpress sur le serveur Apache (/ var / www /). Supprimez tous ces fichiers et parce que je n'ai pas utilisé ce dossier. wordpress, J'ai donné sa permission 440 Restez accessible uniquement à lire.
Redémarrer le service apache2 Et le spam a finalement disparu.