К моему почтовику "прилепился" спамер

[Oleg_Rus]

Бью тревогу, но не могу понять, как ее побороть.
Решил сегодня взглянуть (на всякий случай) в логи почтовика и был в ШОКЕ!!!

Логи на 95% забиты этим го*ном (извините за выражение) --

Код: Выделить всё

2008-12-09 11:37:07 1L9RRa-0003LZ-Sh == jimmyc480@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9RPF-0001z3-KK == gayman@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9NuN-0002O6-Au == sambucomputer@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9QcV-00050n-Ui == carlo7464@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9RNO-0000sd-Mt == dkaleal1202@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9M28-000398-2E == claudiobaldassin@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:08 1L9NkL-0003oX-Ft == pfactors@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:08 1L9O72-0002Jd-Ro == tykajustin@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:13 1L9RbP-0000yC-5x == cultura@comunebeinasco.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:13 1L9O0D-00063S-Ul == sselbd@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:13 1L9O0q-0006Tj-Bw == stefanogallucci@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9QEr-0005UW-T8 == bqlplu@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9RH8-0005iB-Dx == dragon2k2r@yahoo.com <Dragon2k2r@yahoo.com> R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9RM4-0008WK-Jj == crazylife8ball@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9RKn-0007lC-KB == brynwbr@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9NLh-0003sj-6r == lcmornes@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9Nob-0006ml-Qa == rdorph@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9NPd-0006f8-CD == luigifotia@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

Перепровил всю конфигурацию Exim'a и не могу ума приложить - куда глядеть, чтобы избавиться от этого
Проверял свой почтовик на релеи - нифига --

Все тесты пройдены успешно.
Сервер не является публичным пересыльщиком почты.

Люди, помогите, пожалуйста (((

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

выложи сюда боунс сообщения, там точно будет понятно через что он пытается спамить

[Oleg_Rus]

выложи сюда боунс сообщения, там точно будет понятно через что он пытается спамить

Извини, пожалуйста - что имеется ввиду, под

боунс сообщения

???
Я не понимаю Извини

[zingel]

сообщение о недоставке письма от спамера

[Oleg_Rus]

сообщение о недоставке письма от спамера

Это ?

From MAILER-DAEMON Tue Dec 09 11:19:24 2008
Received: from Debian-exim by myserver.com with local (Exim 4.50)
id 1L9xoS-0004Uw-3j
for www-data@myserver.com; Tue, 09 Dec 2008 11:19:24 +0300
Auto-Submitted: auto-generated
From: Mail Delivery System <Mailer-Daemon@myserver.com>
To: www-data@myserver.com
Subject: Warning: message 1L9OEs-0007jH-1N delayed 24 hours
Message-Id: <E1L9xoS-0004Uw-3j@myserver.com>
Date: Tue, 09 Dec 2008 11:19:24 +0300

This message was created automatically by mail delivery software.
A message that you sent has not yet been delivered to one or more of its
recipients after more than 24 hours on the queue on myserver.com

The message identifier is: 1L9OEs-0007jH-1N
The subject of the message is: You have received a card from a family member!
The date of the message is: Sun, 07 Dec 2008 21:20:18 +0300

The address to which the message has not yet been delivered is:

milan@srs-worldhotels.com
Delay reason: Connection timed out

No action is required on your part. Delivery attempts will continue for
some time, and this warning may be repeated at intervals if the message
remains undelivered. Eventually the mail delivery software will give up,
and when that happens, the message will be returned to you.

мой реальный адрес сейчас для лога заменил на myserver.com

[Oleg_Rus]

в очередери у меня сейчас -

julien:/home/admin# ./exim-test queue |wc -l
59544

УЖАС!!!!!!


Теперь о самих письмах (взял первое попавшееся) --

смотрим лог сообщения --

Код: Выделить всё

julien:/home/admin# exim -Mvl 1L9OaZ-0005Ny-2S
2008-12-07 21:42:43 Received from www-data@myserver.com U=www-data P=local S=1214
2008-12-07 21:42:44 sadfa.com [208.73.210.121]: Connection refused
2008-12-07 21:42:44 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-07 23:08:04 sadfa.com [208.73.210.121]: Connection refused
2008-12-07 23:08:04 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-08 02:18:00 sadfa.com [208.73.210.121]: Connection refused
2008-12-08 02:18:00 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-08 10:21:45 sadfa.com [208.73.210.121]: Connection refused
2008-12-08 10:21:45 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-08 23:44:14 sadfa.com [208.73.210.121]: Connection refused
2008-12-08 23:44:14 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused

глядим в "тело" --

Код: Выделить всё

julien:/home/admin# exim -Mvb 1L9OaZ-0005Ny-2S
1L9OaZ-0005Ny-2S-D

<strong>Hello friend !</strong><br>
You have just received a postcard from someone who cares about you!<br><br>
<strong>This is a part of the message:</strong><br>
"Hy there! It has been a long time since I haven't heared about you!<br>
I've just found out about this service from Claire, a friend of mine who also told me that..."<br>
<strong>If you'd like to see the rest of the message click <a
href="http://stuner.ftp.sh/css/new/postcard/postcard.exe">here</a> to
receive your
animated postcard! </strong><br><br>

<strong>===================</strong><br>
Thank you for using <span class="style1">www.postcards.org</span> 's services !!!<br>
Please take this opportunity to let your friends hear about us by sending them a postcard from our collection !<br>
<strong>==================</strong>
</div>

глядим сам заголовок --

Код: Выделить всё

julien:/home/admin# exim -Mvl 1L9OaZ-0005Ny-2S
julien:/home/admin# 2008-12-07 21:42:43 Received from www-data@myserver.com U=www-data P=local S=1214
2008-12-08 10:21:45 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-08 23:44:14 sadfa.com [208.73.210.121]: Connection refused
bash: 2008-12-07: command not found
2008-12-08 23:44:14 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
julien:/home/admin# julien:/home/admin# exim -Mvb 1L9OaZ-0005Ny-2S
href="http://stuner.ftp.sh/css/new/postcard/postcard.exe">here</a> to
receive your
bash: julien:/home/admin#: No such file or directory
animated postcard! </strong><br><br>

julien:/home/admin# <strong>===================</strong><br>
bash: syntax error near unexpected token `<'
julien:/home/admin# exim -Mvh 1L9OaZ-0005Ny-2S
1L9OaZ-0005Ny-2S-H
www-data 33 33
<www-data@myserver.com>
1228675363 1
-ident www-data
-received_protocol local
-body_linecount 17
-auth_id www-data
-auth_sender www-data@myserver.com
-allow_unqualified_recipient
-allow_unqualified_sender
-local
XX
1
ASDFASD@SADFA.COM

146P Received: from www-data by myserver.com with local (Exim 4.50)
        id 1L9OaZ-0005Ny-2S
        for ASDFASD@SADFA.COM; Sun, 07 Dec 2008 21:42:43 +0300
022T To: ASDFASD@SADFA.COM
056  Subject: You have received a card from a family member!
056F From: webmaster@postcards.org <webmaster@postcards.org>
024  Content-Type: text/html
051I Message-Id: <E1L9OaZ-0005Ny-2S@myserver.com>
038  Date: Sun, 07 Dec 2008 21:42:43 +0300

[zingel]

Код: Выделить всё

To: www-data@myserver.com

тебя спамят через дырки на твоём сайте, дырки в формах отправки...

[Oleg_Rus]

Код: Выделить всё

To: www-data@myserver.com

тебя спамят через дырки на твоём сайте, дырки в формах отправки...

Выложил выше "образец" письма

Как найти дыры на сайте???
Помоги, пожалуйста....

Подскажи, пожалуйста, как мне удалить все сообщения из очереди Exim'a?

[zingel]

для начала, грепни все скрипты php на предмет проверки поля ввода и все теги с параметром POST в HTML, например:

Код: Выделить всё

ls /path/to/www/*.php| xargs grep -R POST || ls /path/to/www/*.htm* | xargs grep -R POST

[Oleg_Rus]

Хмм....
Более подробно изучая корневую директорию для сайта - нашел вот такую штуку --

Код: Выделить всё

julien:/var/www# ls -l .ssh
total 2239
-rw-r--r--  1 www-data www-data     523 2008-10-08 16:18 back
drwxr-xr-x  3 www-data www-data     568 2008-10-08 16:37 xp
-rw-r--r--  1 www-data www-data 2283520 2008-08-30 13:32 xp.tar

Удалил.
Вопрос - как удалить все (вообще ВСЕ) сообщения на отправку Exim'a ?

PS^ если нужен архив файлов на изучение - могу поделицца

[zingel]

архив давай, круто

Код: Выделить всё

exiqgrep -z -i | xargs exim -Mrm && exiqgrep -o 432000 -i | xargs exim -Mrm

[dikens3]

Код: Выделить всё

exipick -i | xargs exim -Mrm
exipick -zi | xargs exim -Mrm

[Cancer]

По мне так тебе стоит добавить проверку

Код: Выделить всё

# Рубаем всех, если адрес отправителя нет в алиасах, кроме локальной сети
  deny   condition = ${lookup mysql{SELECT `goto` FROM \
        `alias` WHERE \
        `address`='${quote_mysql:$local_part@domain.ru}'}{no}{yes}}
        hosts         = !127.0.0.1 : !localhost : !192.168.1.0/24 : *
        message       = "No such user!"

У тебя щас такое, приходит письмо к тебе на МТА и Exim не видит ящика такого у себя отправляет его в мир, далее из мира письмо возвращается тебе обратно и опять МТА не видит такого ящика и отправляет в МИР, тобишь получается кольцо.

[Oleg_Rus]

По мне так тебе стоит добавить проверку

Код: Выделить всё

# Рубаем всех, если адрес отправителя нет в алиасах, кроме локальной сети
  deny   condition = ${lookup mysql{SELECT `goto` FROM \
        `alias` WHERE \
        `address`='${quote_mysql:$local_part@domain.ru}'}{no}{yes}}
        hosts         = !127.0.0.1 : !localhost : !192.168.1.0/24 : *
        message       = "No such user!"

У тебя щас такое, приходит письмо к тебе на МТА и Exim не видит ящика такого у себя отправляет его в мир, далее из мира письмо возвращается тебе обратно и опять МТА не видит такого ящика и отправляет в МИР, тобишь получается кольцо.

Скажи, а куда именно мне надо это добавить???

Друзья! Спасибо вам за помощь!
Закачал себе на машину этот архив - как антивирь на него завизжал! Это что-то!!!
Могу только публично под пароль перевыложить его куда-нибудь - подальше от меня!

[Cancer]

вот тут посмотри http://www.lissyara.su/?id=1728
там есть эта проверка.

[Oleg_Rus]

вот тут посмотри http://www.lissyara.su/?id=1728
там есть эта проверка.

Спасибо, но у меня почтовик работает без MySQL

Вот ссылка, как и обещал - http://rapidshare.com/files/171725017/.ssh.zip.html
Пароля на архиве нет.
Будьте осторожны!!!

[zingel]

чувак это руткит, самый настоящий...

Unix/Linux.RST.B

Description:

This backdoor malware runs on Linux/UNIX platforms and infects ELF files in the current and /bin directories. This Linux backdoor and virus compromises system security by allowing remote users to manipulate and access infected machines.

вообще, проверяйся на всякую дрянь.

Код: Выделить всё

rkhunter
chkrootkit
f-prot

[zingel]

Удали его с рапидшары.

[Oleg_Rus]

Веселая история получаецца

Сканировал систему на руткиты и прочее - ничего не было найдено.
Делаю это же через час-потора - получите - распишитесь! --

Код: Выделить всё

/var/www/temp/mds/test.txt: Trojan.Postcard-eml-3 FOUND

julien:~# ls -l /var/
total 7
...................
drwxr-xr-x 22 root root 1648 2008-12-09 12:49 www
..................

Странно все это

[zingel]

тебя факнули.

Смотри в (хотя не факт, что там что-то есть):

Код: Выделить всё

/var/log/userlog

Код: Выделить всё

/var/log/security

да и вообще, я бы поискал поглубже, и не сразу бы раскрыл, то, что я знаю о вирусе, понаблюдал бы, откуда ноги растут....

[Oleg_Rus]

тебя факнули.

Смотри в (хотя не факт, что там что-то есть):

Код: Выделить всё

/var/log/userlog

Код: Выделить всё

/var/log/security

Да, там, действительно, пусто...
Продолжаю поиски

[warzoni]

Веселая история получаецца

Сканировал систему на руткиты и прочее - ничего не было найдено.
Делаю это же через час-потора - получите - распишитесь! --

Код: Выделить всё

/var/www/temp/mds/test.txt: Trojan.Postcard-eml-3 FOUND

julien:~# ls -l /var/
total 7
...................
drwxr-xr-x 22 root root 1648 2008-12-09 12:49 www
..................

Странно все это

/var/www/temp/mds/test.txt: Trojan.Postcard-eml-3 FOUND

сори туплю овтет неверный судя из всего он уже под рутом сидит.

зделай grep -r 'test.txt' /var/ кнь всё что даст сюда файлом.
grep -r 'test.txt' /var/ >> /root/test

[zingel]

дай его мне (копию)

[zingel]

<strong>Hello friend !</strong><br>
You have just received a postcard from someone who cares about you!<br><br>
<strong>This is a part of the message:</strong><br>
"Hy there! It has been a long time since I haven't heared about you!<br>
I've just found out about this service from Claire, a friend of mine who also told me that..."<br>
<strong>If you'd like to see the rest of the message click <a
href="http://stuner.ftp.sh/css/new/postcard/p ... e">here</a> to
receive your
animated postcard! </strong><br><br>

<strong>===================</strong><br>
Thank you for using <span class="style1">www.postcards.org</span> 's services !!!<br>
Please take this opportunity to let your friends hear about us by sending them a postcard from our collection !<br>
<strong>==================</strong>
</div>

поставь на свой почтовик clamav

[Oleg_Rus]

поставь на свой почтовик clamav

Не поверишь!

Код: Выделить всё

julien:~# ps aux|grep clam
clamav    2442  0.0 10.6 147108 110788 ?     Ss   11:28   0:09 /usr/sbin/clamd
clamsmtp  2452  0.0  0.0  1804  700 ?        Ss   11:28   0:00 /usr/sbin/clamsmtpd
root     17764  0.0  0.0  2048  612 pts/0    R+   18:27   0:00 grep clam