Exim атакуют?

[break]

Здравствуйте знатоки!

Прошу Вас помочь разобраться в моей ситуации.
Имеем сервер:

Код: Выделить всё

mail# uname -a
FreeBSD mailmoa.moa.local 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Mon Jul 19 02:55:53 UTC 2010

Имеем почтовый сервер:

Код: Выделить всё

mail# pkg_info
exim-4.72           High performance MTA for Unix systems on the Internet
dovecot-1.2.14_1    Secure and compact IMAP and POP3 servers

Сервер работает и принципе нареканий нет.
НО!

Смотрю логи:

Код: Выделить всё

mail# tail -f /var/log/maillog

Логи бегут с бешеной скоростью.

Код: Выделить всё

Nov 24 13:51:50 mailmoa exim[21398]: Delay 0s for  [192.168.25.150] with HELO=smtp.seapro.crs.org. Mail from dieffenb@conti.ru to flamtour@mail.wpius.net.
Nov 24 13:51:50 mailmoa exim[21516]: Delay 0s for  [192.168.25.150] with HELO=221.2.144.135. Mail from megabits@ariostos.ru to kristyjane@km.ru.
Nov 24 13:51:51 mailmoa exim[21458]: Delay 0s for  [192.168.25.150] with HELO=218.7.191.182. Mail from spsomut@user.transit.ru to vasilyeval@yukos.ru.
Nov 24 13:51:51 mailmoa exim[21746]: Delay 0s for  [192.168.25.150] with HELO=187.16.58.12. Mail from lita-studio@hdm.ru to vast@metacom.ru.
Nov 24 13:51:51 mailmoa exim[21036]: Delay 0s for  [192.168.25.150] with HELO=222.168.18.227. Mail from kuplya-prodaja@panaservice.ru to vasilek315@mail.primorye.ru.
Nov 24 13:51:51 mailmoa exim[20940]: Delay 0s for  [192.168.25.150] with HELO=211.143.117.73. Mail from lufthansa@prombiofit.ru to lesha@sterling.ru.
Nov 24 13:51:51 mailmoa exim[19131]: 1PLCru-0004Up-Ec SMTP timeout while connected to umail.ru [195.34.32.101] after initial connection: Operation timed out
Nov 24 13:51:51 mailmoa exim[19013]: 1PLCru-0004Up-Ec == vam@dialup.ptt.ru R=dnslookup T=remote_smtp defer (60): Operation timed out: SMTP timeout while connected to umail.ru [195.34.32.101] after initial connection
Nov 24 13:51:51 mailmoa exim[19013]: 1PLCru-0004Up-Ec == vam@kon.ru R=dnslookup T=remote_smtp defer (60): Operation timed out: SMTP timeout while connected to umail.ru [195.34.32.101] after initial connection
Nov 24 13:51:51 mailmoa exim[21815]: 1PLCx5-0005fr-Dd <= <> R=1PLCru-0004Up-Ec U=mailnull P=local S=14140 from <> for murmansga@evol.ru
Nov 24 13:51:51 mailmoa exim[21593]: Delay 0s for  [192.168.25.150] with HELO=187.115.148.61.static.gvt.net.br. Mail from nsk-nestra@inbox.ru to vasiljevasmtpirina.vasiljeva@bavaria-m.ru.
Nov 24 13:51:51 mailmoa exim[21744]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from perfomelal_ru@bezant.ru to libero@mail.iks.ru.
Nov 24 13:51:51 mailmoa exim[21309]: Delay 0s for  [192.168.25.150] with HELO=219.150.227.111. Mail from master-ok@filmstudio.ru to lepet@land.ru.
Nov 24 13:51:51 mailmoa exim[21125]: Delay 0s for  [192.168.25.150] with HELO=41.191.121.164. Mail from bendy@kurganmash.ru to vasiliy_mdd@inbox.ru.
Nov 24 13:51:51 mailmoa exim[21647]: Delay 0s for  [192.168.25.150] with HELO=112.64.180.114. Mail from baltlogistic@tpl.ru to lianiadmin@rshu.ru.
Nov 24 13:51:51 mailmoa exim[20833]: 1PLCuC-00056i-SP rusautogaz.ru [193.232.158.145] Operation timed out
Nov 24 13:51:51 mailmoa exim[21765]: Delay 0s for  [192.168.25.150] with HELO=202.107.200.93. Mail from farmtekct@afin.ru to vasv@wbd.ru.
Nov 24 13:51:51 mailmoa exim[21746]: Delay 0s for  [192.168.25.150] with HELO=187.16.58.12. Mail from lita-studio@hdm.ru to vast@neon.ru.
Nov 24 13:51:51 mailmoa exim[21398]: Delay 0s for  [192.168.25.150] with HELO=smtp.seapro.crs.org. Mail from dieffenb@conti.ru to flan@giglasnet.ru.
Nov 24 13:51:51 mailmoa exim[20118]: Delay 0s for  [192.168.25.150] with HELO=200-168-87-17.dsl.telesp.net.br. Mail from avtolit@comptek.ru to vasia27@yandex.ru.
Nov 24 13:51:51 mailmoa exim[21602]: 1PLCw7-0005Gn-RW ** lena@simtel.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<lena@simtel.ru>: host mail.simtel.ru [89.239.131.121]: 550 lena@simtel.ru unknown user account
Nov 24 13:51:52 mailmoa exim[21593]: Delay 0s for  [192.168.25.150] with HELO=187.115.148.61.static.gvt.net.br. Mail from nsk-nestra@inbox.ru to vasiljevatanja@chaika.ru.
Nov 24 13:51:52 mailmoa exim[21602]: 1PLCw7-0005Gn-RW ** lena@smart.al.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<lena@smart.al.ru>: host mx.centre.ru [194.186.208.5]: 554 5.7.1 <lena@smart.al.ru>: Relay access denied

Сегодня начали приходить на мой личный почтовик (как владельца почтового сервера) такого рода сообщения (уже 4 штуки)

[ SpamCop V4.6.1.006 ]
This message is brief for your comfort. Please use links below for details.

Email from 77.247.185.206 / 24 Nov 2010 04:42:01 +0300
http://www.spamcop.net/w3m?i=z532118384 ... d2d21edf9z

[ Offending message ]
Return-Path: <scandi_saxum@tiran.ru>
Delivered-To: x
Received: (qmail 70521 invoked by uid 0); 24 Nov 2010 04:41:10 +0300
Received: from unknown (HELO mailx.marsat.ru) (192.168.100.254)
by mail.mss with ESMTP; 24 Nov 2010 04:41:10 +0300
Received: (qmail 17269 invoked from network); 24 Nov 2010 04:42:01 +0300
Received: from mx.moalco.ru (77.247.185.206)

Полез в старые логи, что бы посмотреть события связанные с этим почтовиком.

Код: Выделить всё

mail# cat 24_maillog | grep scandi_saxum@tiran.ru
Nov 24 04:38:57 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochlit@svs.ru.
Nov 24 04:38:59 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochmash@land.ru.
Nov 24 04:39:00 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochmash@mt.ru.
Nov 24 04:39:01 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochmash@rmt.ru.
Nov 24 04:39:03 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochmash@te.net.ua.
Nov 24 04:39:04 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochmash@tochmash.ru.
Nov 24 04:39:06 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochmash@tula.net.
Nov 24 04:39:07 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochmash@tut.by.
Nov 24 04:39:08 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochmeh@tochmeh.ru.
Nov 24 04:39:09 mailmoa exim[35210]: Delay 0s for  [192.168.25.150] with HELO=sym.gdsz.cncnet.net. Mail from scandi_saxum@tiran.ru to tochmet@bigfoot.com.

Далее едет еще куда аналогичных строчек (с меняющимся адресом to).
Продолжение:

Код: Выделить всё

Nov 24 04:41:06 mailmoa exim[35210]: [1/3] 1PL4Lw-00099u-KC <= scandi_saxum@tiran.ru H=(sym.gdsz.cncnet.net) [192.168.25.150] I=[192.168.25.151]:25 P=smtp S=45814 id=39A1BA1D9F754B31888819B6F79098CD@rjlba from <scandi_saxum@tiran.ru> for tochlit@svs.ru tochmash@land.ru tochmash@mt.ru tochmash@rmt.ru tochmash@te.net.ua tochmash@tochmash.ru tochmash@tula.net tochmash@tut.by tochmeh@tochmeh.ru tochmet@bigfoot.com tochpribor1@fpg.ru tochpribor@interline.ru tochremstanok@samaramail.ru tochtonado@i-set.ru tocusor@moldtelecom.md tod_dragnev@hotmail.com todak@alfacom.net todayko@ntv.ru todd_cooper@yahoo.com toddsf@gmail.com tode@tode.lv todek@solyd-ent.ru todemspb@hotmail.com todes2003@ua.fm todes@lin.com.ua todes@rol.ru todmak@bgnet.bg todorova@alfrus.ru todorovakalina@hotmail.com todorut@rdstm.ro todosiy16@mail.ru todplast@superfish.pl toe@riac.ru toefl@language.ru toek@dataforce.net toek@samtel.ru tofa@ma
Nov 24 04:41:23 mailmoa exim[37670]: 1PL4Lw-00099u-KC ** tod_dragnev@hotmail.com R=dnslookup T=remote_smtp: SMTP error from remote mail server after MAIL FROM:<scandi_saxum@tiran.ru> SIZE=47466: host mx3.hotmail.com [65.55.92.168]: 550 SC-001 Unfortunately, messages from 77.247.185.206 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors.
Nov 24 04:41:24 mailmoa exim[37670]: 1PL4Lw-00099u-KC ** todemspb@hotmail.com R=dnslookup T=remote_smtp: SMTP error from remote mail server after MAIL FROM:<scandi_saxum@tiran.ru> SIZE=47466: host mx4.hotmail.com [65.55.92.184]: 550 SC-001 Unfortunately, messages from 77.247.185.206 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors.
Nov 24 04:41:24 mailmoa exim[37670]: 1PL4Lw-00099u-KC ** todorovakalina@hotmail.com R=dnslookup T=remote_smtp: SMTP error from remote mail server after MAIL FROM:<scandi_saxum@tiran.ru> SIZE=47466: host mx4.hotmail.com [65.55.92.184]: 550 SC-001 Unfortunately, messages from 77.247.185.206 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors.
Nov 24 04:41:28 mailmoa exim[37670]: 1PL4Lw-00099u-KC ** toe@riac.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<toe@riac.ru>: host mx1.spaceweb.ru [77.222.41.36]: 550-Verification failed for <scandi_saxum@tiran.ru>\n550-Called:   74.125.79.27\n550-Sent:     RCPT TO:<scandi_saxum@tiran.ru>\n550-Response: 550-5.1.1 The email account that you tried to reach does not exist. Please try\n550-550-5.1.1 double-checking the recipient's email address for typos or\n550-550-5.1.1 unnecessary spaces. Learn more at\n550-550 5.1.1 http://mail.google.com/support/bin/answer.py?answer=6596 w5si16681727eeh.12\n550 Sender verify failed
Nov 24 04:41:31 mailmoa exim[37670]: 1PL4Lw-00099u-KC ** toir@tmn.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after MAIL FROM:<scandi_saxum@tiran.ru>: host relay.tmn.ru [212.76.160.49]: 553 5.3.0 Rejected - see http://www.uceprotect.net/en/rblcheck.php?ipr=77.247.185.206
Nov 24 04:41:37 mailmoa exim[37670]: 1PL4Lw-00099u-KC ** tochremstanok@samaramail.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after MAIL FROM:<scandi_saxum@tiran.ru> SIZE=47466: host mx.kraft-s.net [213.156.192.51]: 550-5.1.0 <scandi_saxum@tiran.ru>... Your MX replied "550 5.1.1 http://mail.google.com/support/bin/answer.py?answer=6596 z7si16660597eeh.76"\n550 5.1.0 E-mail <scandi_saxum@tiran.ru> hasn't been confirmed by its MX "ASPMX.L.GOOGLE.COM"
Nov 24 04:41:37 mailmoa exim[37670]: 1PL4Lw-00099u-KC ** toiltechnica@chel.surnet.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<toiltechnica@chel.surnet.ru>: host relay4.surnet.ru [195.54.2.30]: 550 5.1.7 <scandi_saxum@tiran.ru>: Sender address rejected: undeliverable address: host ASPMX.L.GOOGLE.COM[74.125.79.27] said: 550-5.1.1 The email account that you tried to reach does not exist. Please try 550-5.1.1 double-checking the recipient's email address for typos or 550-5.1.1 unnecessary spaces. Learn more at                              550 5.1.1 http://mail.google.com/support/bin/answer.py?answer=6596 y2si16667282eeh.61 (in reply to RCPT TO command)
Nov 24 04:42:29 mailmoa exim[39532]: 1PL4NR-000AHc-Sh <= <> R=1PL4Lw-00099u-KC U=mailnull P=local S=61920 from <> for scandi_saxum@tiran.ru
Nov 24 04:42:33 mailmoa exim[39533]: 1PL4NR-000AHc-Sh ** scandi_saxum@tiran.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<scandi_saxum@tiran.ru>: host ASPMX.L.GOOGLE.COM [74.125.77.27]: 550-5.1.1 The email account that you tried to reach does not exist. Please try\n550-5.1.1 double-checking the recipient's email address for typos or\n550-5.1.1 unnecessary spaces. Learn more at\n550 5.1.1 http://mail.google.com/support/bin/answer.py?answer=6596 p10si16658766eeh.74
Nov 24 04:44:04 mailmoa exim[41769]: 1PL4Oy-000Arh-UY <= <> R=1PL4Lw-00099u-KC U=mailnull P=local S=47518 from <> for scandi_saxum@tiran.ru
Nov 24 04:44:08 mailmoa exim[41770]: 1PL4Oy-000Arh-UY ** scandi_saxum@tiran.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<scandi_saxum@tiran.ru>: host aspmx.l.google.com [74.125.77.27]: 550-5.1.1 The email account that you tried to reach does not exist. Please try\n550-5.1.1 double-checking the recipient's email address for typos or\n550-5.1.1 unnecessary spaces. Learn more at\n550 5.1.1 http://mail.google.com/support/bin/answer.py?answer=6596 v51si16675959eeh.31

Такая же петрушка и с остальными.


Вопрос - это так жестоко спамеры атакуют сервак? пока сам не понимаю что это

И я так понимаю что все это складывается в очередь. Ибо когда запускаю команду по очищению ожидающих сообщений, удаляется нереально большой список.

Прошу Вашей помощи в анализе проблемы.

с ув.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Nov 24 13:51:50 mailmoa exim[21398]: Delay 0s for [192.168.25.150] with HELO=smtp.seapro.crs.org. Mail from dieffenb@conti.ru to flamtour@mail.wpius.net.

IP-Адрес локальной сети. Видимо у вас вирус висит в сети и делов. Вирус дел наворотил и вас внесли в чёрный список.

[ADRE]

спам коп вам посоветовал полечиться )у какого умника 192.168.25.150? прийти к нему с отвёрткой и avz

[break]

Я выключил все компьютеры в сети, логи сыпятся с той же бешеной скоростью

Мысли вслух:

У меня есть два сервера freebsd.
1. Gate
2. Mail server
Раньше это было все в одном, сейчас решил разделить.

Сейчас т.к. я еще не успел получить второй выделенный IP, сделал так:
На сервере Gate поставил редирект портов (rinetd)

Прописал редиректы:

Код: Выделить всё

77.247.185.206 25 192.168.25.151 25
77.247.185.206 110 192.168.25.151 110
192.168.25.150 25 192.168.25.151 25
192.168.25.150 110 192.168.25.151 110

т.е. редиректить порты для внешки и редиректить для внутренней сети.

Если бы в локальной сети был вирус, то были бы обращения по внутренней сети:

Код: Выделить всё

192.168.25.150 25 192.168.25.151 25

НО! обращений нету.

Как только включаю редирект 25-го порта для внешнего адреса, логи бешенно начинают бежать!!!

Код: Выделить всё

77.247.185.206 25 192.168.25.151 25

Я правильно мыслю ?

[break]

спам коп вам посоветовал полечиться )у какого умника 192.168.25.150? прийти к нему с отвёрткой и avz

Очень хочется прийти с кувалдой! Но! к сожалению у меня ситуация такова что 192.168.25.150 - это шлюз.

[break]

Я так понимаю что мне поможет только выделенный адрес на почтовый сервер.

народ подскажите кто может

[break]

Еще раз здравствуйте!

Сижу я дома ночью за компьютером, все компьютеры в офисе потушены.

Включил монитор:
Почты

Код: Выделить всё

tail -f /var/log/maillog

25 порт - внешний интерфейс шлюза

Код: Выделить всё

tcpdump -i em1 port 25

25 порт - внутренний интерфейс шлюза

Код: Выделить всё

tcpdump -i em0 port 25

25 порт - внутреннего интерфейса почтового сервера.

Код: Выделить всё

tcpdump -i em0 port 25

Довольно токи долго было все хорошо (успел посмотреть финский фильм "Linux Code" ) )
Пришло пользователю письмо (все как бы нормально и спокойно):

Nov 25 01:58:15 mailmoa exim[60255]: no host name found for IP address 192.168.25.150
Nov 25 01:58:15 mailmoa exim[60255]: Delay 0s for [192.168.25.150] with HELO=smtp13.mail.ru. Mail from moalco@mail.ru to podshivalova@moalco.ru.
Nov 25 01:58:15 mailmoa exim[60255]: 1PLOI3-000Ffr-IW DKIM: d=mail.ru s=mail c=relaxed/relaxed a=rsa-sha256 [verification succeeded]
Nov 25 01:58:15 mailmoa exim[60255]: 1PLOI3-000Ffr-IW <= moalco@mail.ru H=(smtp13.mail.ru) [192.168.25.150] I=[192.168.25.151]:25 P=esmtp S=5610 id=!&!AAAAAAAAAAAYAAAAAAAAAPGSaghqKWZIn5DM8FTHvPnCgAAAEAAAAP0/f3gEN71KjsNEAF/uL2wBAAAAAA==@mail.ru from <moalco@mail.ru> for podshivalova@moalco.ru
Nov 25 01:58:15 mailmoa dovecot: deliver(podshivalova@moalco.ru): msgid=<!&!AAAAAAAAAAAYAAAAAAAAAPGSaghqKWZIn5DM8FTHvPnCgAAAEAAAAP0/f3gEN71KjsNEAF/uL...: saved mail to INBOX
Nov 25 01:58:15 mailmoa exim[60256]: 1PLOI3-000Ffr-IW => podshivalova <podshivalova@moalco.ru> R=dovecot_user T=dovecot_delivery
Nov 25 01:58:15 mailmoa exim[60256]: 1PLOI3-000Ffr-IW Completed

Через некоторое время:

Nov 25 02:05:34 mailmoa exim[60557]: no host name found for IP address 192.168.25.150
Nov 25 02:05:34 mailmoa exim[60557]: Delay 0s for [192.168.25.150] with HELO=77.247.185.206. Mail from capacitacionenaccion@post.com to martruma@msn.com.
Nov 25 02:05:43 mailmoa exim[60557]: Delay 0s for [192.168.25.150] with HELO=77.247.185.206. Mail from capacitacionenaccion@post.com to martsa@coldatos.sist.
Nov 25 02:05:43 mailmoa exim[60557]: Delay 0s for [192.168.25.150] with HELO=77.247.185.206. Mail from capacitacionenaccion@post.com to martsa@texins.sistecol.com.
Nov 25 02:05:44 mailmoa exim[60557]: Delay 0s for [192.168.25.150] with HELO=77.247.185.206. Mail from capacitacionenaccion@post.com to martsantamaria@hotmail.com.
Nov 25 02:05:44 mailmoa exim[60557]: Delay 0s for [192.168.25.150] with HELO=77.247.185.206. Mail from capacitacionenaccion@post.com to martsiga@suramericana.com.co.
Nov 25 02:05:45 mailmoa exim[60557]: Delay 0s for [192.168.25.150] with HELO=77.247.185.206. Mail from capacitacionenaccion@post.com to martsimi@suramericana.com.co.
Nov 25 02:05:45 mailmoa exim[60557]: Delay 0s for [192.168.25.150] with HELO=77.247.185.206. Mail from capacitacionenaccion@post.com to mart-tor@uniandes.edu.co.
Nov 25 02:05:45 mailmoa exim[60557]: Delay 0s for [192.168.25.150] with HELO=77.247.185.206. Mail from capacitacionenaccion@post.com to martu101@hotmail.com.

И полетел вниз.

tcpdump на серверах говорит:

Код: Выделить всё

tcpdump -i em1 port 25

Фрагмент лога конец нормального письма от маил.ру и начала полного расколбаса.

02:02:42.424525 IP smtp6.mail.ru.39585 > mx.moalco.ru.smtp: Flags [F.], seq 8012, ack 273, win 6432, options [nop,nop,TS val 1996832701 ecr 2622041294], length 0
02:02:42.424679 IP mx.moalco.ru.smtp > smtp6.mail.ru.39585: Flags [.], ack 8013, win 65535, options [nop,nop,TS val 2622041303 ecr 1996832701], length 0
02:02:42.424704 IP mx.moalco.ru.smtp > smtp6.mail.ru.39585: Flags [F.], seq 273, ack 8013, win 65535, options [nop,nop,TS val 2622041303 ecr 1996832701], length 0
02:02:42.428001 IP smtp6.mail.ru.39585 > mx.moalco.ru.smtp: Flags [.], ack 274, win 6432, options [nop,nop,TS val 1996832705 ecr 2622041303], length 0
02:05:33.088694 IP corporat190-2697158.sta.etb.net.co.52153 > mx.moalco.ru.smtp: Flags [S], seq 1584357108, win 8192, options [mss 1460,nop,nop,sackOK], length 0
02:05:33.088918 IP mx.moalco.ru.smtp > corporat190-2697158.sta.etb.net.co.52153: Flags [S.], seq 1650304481, ack 1584357109, win 65535, options [mss 1460,sackOK,eol], length 0
02:05:33.352813 IP corporat190-2697158.sta.etb.net.co.52153 > mx.moalco.ru.smtp: Flags [.], ack 1, win 64240, length 0
02:05:33.402698 IP mx.moalco.ru.smtp > corporat190-2697158.sta.etb.net.co.52153: Flags [P.], ack 1, win 65535, length 35
02:05:33.752594 IP corporat190-2697158.sta.etb.net.co.52153 > mx.moalco.ru.smtp: Flags [P.], ack 36, win 64205, length 21
02:05:33.754509 IP mx.moalco.ru.smtp > corporat190-2697158.sta.etb.net.co.52153: Flags [P.], ack 22, win 65535, length 56
02:05:34.021682 IP corporat190-2697158.sta.etb.net.co.52153 > mx.moalco.ru.smtp: Flags [P.], ack 92, win 64149, length 44
02:05:34.022355 IP mx.moalco.ru.smtp > corporat190-2697158.sta.etb.net.co.52153: Flags [P.], ack 66, win 65535, length 8
02:05:34.341725 IP corporat190-2697158.sta.etb.net.co.52153 > mx.moalco.ru.smtp: Flags [P.], ack 100, win 64141, length 29
02:05:34.434679 IP mx.moalco.ru.smtp > corporat190-2697158.sta.etb.net.co.52153: Flags [.], ack 95, win 65535, length 0
02:05:43.379603 IP mx.moalco.ru.smtp > corporat190-2697158.sta.etb.net.co.52153: Flags [P.], ack 95, win 65535, length 14
02:05:43.680711 IP corporat190-2697158.sta.etb.net.co.52153 > mx.moalco.ru.smtp: Flags [P.], ack 114, win 64127, length 33
02:05:43.682449 IP mx.moalco.ru.smtp > corporat190-2697158.sta.etb.net.co.52153: Flags [P.], ack 128, win 65535, length 14
02:05:43.990778 IP corporat190-2697158.sta.etb.net.co.52153 > mx.moalco.ru.smtp: Flags [P.], ack 128, win 64113, length 39
02:05:43.992428 IP mx.moalco.ru.smtp > corporat190-2697158.sta.etb.net.co.52153: Flags [P.], ack 167, win 65535, length 14
02:05:44.369052 IP corporat190-2697158.sta.etb.net.co.52153 > mx.moalco.ru.smtp: Flags [P.], ack 142, win 64099, length 39
02:05:44.370383 IP mx.moalco.ru.smtp > corporat190-2697158.sta.etb.net.co.52153: Flags [P.], ack 206, win 65535, length 14

25 порт - внутренний интерфейс шлюза

Код: Выделить всё

tcpdump -i em0 port 25

Начало расколбаса.

02:02:42.198690 IP 192.168.25.150.33305 > 192.168.25.151.smtp: Flags [S], seq 569802720, win 65535, options [mss 1460,nop,wscale 3,sackOK,TS val 88744992 ecr 0], length 0
02:02:42.206687 IP 192.168.25.151.smtp > 192.168.25.150.33305: Flags [S.], seq 69616237, ack 569802721, win 65535, options [mss 1460,nop,wscale 3,sackOK,TS val 2925839684 ecr 88744992], length 0
02:02:42.206722 IP 192.168.25.150.33305 > 192.168.25.151.smtp: Flags [.], ack 1, win 8326, options [nop,nop,TS val 88744993 ecr 2925839684], length 0
02:02:42.218430 IP 192.168.25.151.smtp > 192.168.25.150.33305: Flags [P.], ack 1, win 8326, options [nop,nop,TS val 2925839685 ecr 88744993], length 35
02:02:42.221947 IP 192.168.25.150.33305 > 192.168.25.151.smtp: Flags [P.], ack 36, win 8326, options [nop,nop,TS val 88744994 ecr 2925839685], length 20
02:02:42.223760 IP 192.168.25.151.smtp > 192.168.25.150.33305: Flags [P.], ack 21, win 8326, options [nop,nop,TS val 2925839686 ecr 88744994], length 131
02:02:42.227224 IP 192.168.25.150.33305 > 192.168.25.151.smtp: Flags [P.], ack 167, win 8326, options [nop,nop,TS val 88744995 ecr 2925839686], length 78
02:02:42.246690 IP 192.168.25.151.smtp > 192.168.25.150.33305: Flags [P.], ack 99, win 8326, options [nop,nop,TS val 2925839688 ecr 88744995], length 8
02:02:42.252398 IP 192.168.25.151.smtp > 192.168.25.150.33305: Flags [P.], ack 99, win 8326, options [nop,nop,TS val 2925839689 ecr 88744995], length 70
02:02:42.252400 IP 192.168.25.150.33305 > 192.168.25.151.smtp: Flags [.], ack 245, win 8317, options [nop,nop,TS val 88744997 ecr 2925839688], length 0
02:02:42.299169 IP 192.168.25.150.33305 > 192.168.25.151.smtp: Flags [P.], ack 245, win 8326, options [nop,nop,TS val 88745002 ecr 2925839688], length 331
02:02:42.299928 IP 192.168.25.150.33305 > 192.168.25.151.smtp: Flags [P.], ack 245, win 8326, options [nop,nop,TS val 88745002 ecr 2925839688], length 1448

25 порт - внутреннего интерфейса почтового сервера.

Код: Выделить всё

tcpdump -i em0 port 25

Аналогично предыдущему .



Люди Хелп!

[Alex Keda]

наркоманы, ёпть...
водки палёной упились на Державе чтоле? )

Код: Выделить всё

77.247.185.206 25 192.168.25.151 25

а подумать?
не?
а ещё раз подумать?
а хорошо подумать?
========
после rinetd адрес стал "локальным"
и внутренний MTA принимает почту без разговоров - это же с локального адреса идёт, по его мнению.

[Alex Keda]

Код: Выделить всё

!192.168.25.151 : ............

ферштейн?

[schizoid]

На сервере Gate поставил редирект портов (rinetd)

вот где зараза. у мну тоже такое было разок, когдаего заюзал
попробуй файерволом редирект сделать

[mediamag]

у ринетд есть один большой минус, при редиректе он не оставляет настоящий адрес отправителя пакета, а меняет его на локальный адрес тачки, где сам же и установлен. Вот экзим и пропускает весь этот спам, так как он идёт по его мнению с локалки. Как решение могу посоветовать сделать проброс портов средствами натд или ядерного ната (смотря что у вас на шлюзе)

[break]

Проблема решена!

ДА! Действительно мои мучения были из-за rinetd. Тут полностью прав mediamag!
Цитирую

при редиректе он не оставляет настоящий адрес отправителя пакета, а меняет его на локальный адрес тачки, где сам же и установлен. Вот экзим и пропускает весь этот спам, так как он идёт по его мнению с локалки.

Вчера я поставил в исключение (в конфиге exim) этот самый адрес шлюза, где установлен rinetd (lissyara респект)

Сервер начал просить авторизацию smtp.
хацкеры продолжали заниматься своим делом, но уже спам не отправлялся.
Взял у провайдера 2-й внешний ip.
Дождался вечера, поменял mx записи в донеме, отдал один внешний ip на почтовый сервер.
Теперь все хорошо.


Всем спасибо!