непонятно как взломали exim

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Знатная зверюга
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-11-22 13:45:51

непонятно как взломали exim

Непрочитанное сообщение Знатная зверюга » 2011-02-22 17:48:09

Привет всем.
Прошу совета - через мой сервер непонятным для меня образом ночью рахослали тонну спама. Письма уходили от
<= аdmin@domain.соm U=mailnull P=local S=626
где аdmin@domain.соm это действующий почтовый ящик на сервере и domain.соm указан в domainlist relay_to_domains
меня смщуает что почта уходила от mailnull, как будто зашли локально этим пользователем и отправляли
в конфиге указано

Код: Выделить всё

exim_user = mailnull
  user = mailnull
но в /etc/master.passwd

Код: Выделить всё

mailnull:*:26:26::0:0:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
то есть зайти им не могли. Или это какая-то уязвимость ексима? стоит достаточно старая версия 4.66, ОС freebsd 6.2
Буду благодарен за любые мнения-советы.
Последний раз редактировалось Alex Keda 2011-02-23 10:45:38, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2520 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: непонятно как взломали exim

Непрочитанное сообщение Гость » 2011-02-22 17:54:41

да может банально апач поламали
и через дырявый php разослали
ищите и проверяйте все логи на странность

Знатная зверюга
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-11-22 13:45:51

Re: непонятно как взломали exim

Непрочитанное сообщение Знатная зверюга » 2011-02-22 17:57:13

Спасибо за ответ.
Не, если через апач то рассылается с U=nobody, а тут от mailnull

Гость
проходил мимо

Re: непонятно как взломали exim

Непрочитанное сообщение Гость » 2011-02-22 18:00:57

хм
тогда однозначно через екзим
а что других логов нет? по екзиму
по какойто активности ...

Знатная зверюга
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-11-22 13:45:51

Re: непонятно как взломали exim

Непрочитанное сообщение Знатная зверюга » 2011-02-22 18:08:17

Ну вот такого рода логи и идут

Код: Выделить всё

1PrkSX-000FFC-1t  <= admin@domain.com U=mailnull P=local S=650
1PrkSX-000FFC-1t => servizisociali@cert.comune.avellino.it R=dnslookup T=remote_smtp H=mx.postacert.it.net  [151.1.194.101] X=TLSv1:RC4-SHA:128
1PrkSX-000FFC-1t Completed
пришло от моего имейла с локального ексима и успешно ушло получателю
Последний раз редактировалось Alex Keda 2011-02-23 10:45:48, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...


Знатная зверюга
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-11-22 13:45:51

Re: непонятно как взломали exim

Непрочитанное сообщение Знатная зверюга » 2011-02-22 21:34:43

спасибо за ответ.
писал в первом посте
4.66, ОС freebsd 6.2
наткнулся на описание уязвимости, которая могла привести к такому результату, более того в rejectlog нашел попытки взломать через эту уязвимость (правда было это пару недель назад), обновляю ексим до 4.74 нажеюсь поможет