Помогите понять проблему.

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Помогите понять проблему.

Непрочитанное сообщение InventoR » 2008-05-13 13:30:18

Народ помогите понять проблему:
удалено
Последний раз редактировалось InventoR 2008-05-14 9:33:25, всего редактировалось 1 раз.
ну вот и сказочке конец, кто слушал, тот молодец.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение princeps » 2008-05-13 14:48:22

вирус из твоей сети рассылает спам.
1) закрыть 25-й порт наружу всем, кроме тех, кому надо.
2) поставить везде нормальный, по возможности лицензионный антивирус и обновить базы.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение princeps » 2008-05-13 14:49:53

Или открытый релей на почтовике :) Помнится, давным-давно была у меня такая проблема на MS Exchange. Пока разобрался, где там нужную птицу поставить, не вылазил из блэк-листов.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение InventoR » 2008-05-13 15:35:54

ребят. вся проблема в том что вируса я не рассылаю и в логах ничего такого нету.
и openrelay я тоже не поддержую.
а вот почта блокируется.
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение dikens3 » 2008-05-13 15:51:46

вся проблема в том что вируса я не рассылаю
spamcop так не считает. Скорее всего вирус у тебя в сети рассылает спам.

Займись переводом строки:

Код: Выделить всё

System has sent mail to SpamCop spam traps in the past week (spam traps are secret, no reports or evidence are provided by SpamCop)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение princeps » 2008-05-13 16:15:05

NarkomanLove писал(а):и в логах ничего такого нету.
А ты хочешь, чтоб вирус тебе еще и в логи записался? :) Ты какие логи смотришь?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение InventoR » 2008-05-13 16:19:11

в общем в логах ничего особенного нету.
но зато куча записей. о том что мой сервер отбил неизвестные письма.
что за. хрень. не пойму.
запретил в сети 25 порт.
и сделал на него log logamount 10000. дабы видеть все.
ну вот и сказочке конец, кто слушал, тот молодец.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение princeps » 2008-05-13 16:26:00

NarkomanLove писал(а):в общем в логах ничего особенного нету.
но зато куча записей. о том что мой сервер отбил неизвестные письма.
Если ты смотришь логи почтового сервера, то ты там ничего не увидишь. Вирус сам напрямую через шлюз рассылает свой спам через протокол smtp. Тебе надо логи шлюза смотреть - с каких компов прет трафик по 25 порту наружу. Должен быть только с почтовика.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение InventoR » 2008-05-13 16:38:48

трафик по smtp за сегодня 3мегабайта. за неделю 23мега.
думаю тут какая-то другая зараза. хотя кто его знает. ладно буду дальше отслеживать.
может все таки что-то и поймаю.
ну вот и сказочке конец, кто слушал, тот молодец.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение princeps » 2008-05-13 17:30:04

Да другой вроде не может быть. Тебе написали, что с твоего адреса пришло письмо на спамтрэп спамкоповский. Спамтрэп не виден обычным юзерам - его только спамботы собирают. Т.е., соответственно, никакой человек из твоей сети послать такое письмо не мог, а только вирь.
NarkomanLove писал(а):трафик по smtp за сегодня 3мегабайта. за неделю 23мега.
Это входящий или исходящий? Тебе-то надо исходящий.
NarkomanLove писал(а):может все таки что-то и поймаю.
Посмотри, с каких компьютеров есть исходящий трафик по smtp - 25 порту. На них и лови заразу. Не проще все-таки антивирус обновить?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

neptunix
рядовой
Сообщения: 19
Зарегистрирован: 2008-05-06 14:12:52

Re: Помогите понять проблему.

Непрочитанное сообщение neptunix » 2008-05-13 18:05:10

princeps писал(а):Не проще все-таки антивирус обновить?
Или зарубить 25 порт на выход для всех :twisted:

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение InventoR » 2008-05-13 20:21:07

princeps писал(а):Не проще все-таки антивирус обновить?
лицензионный каспер на всю сетку, контролируется с сервера, там ничего не обнаружено.
25 уже рубанул.
всех пользователей для отправки писем. заставил проходить авторизацию.
исходящий это smtp. он же 25 порт. в системе учета трафика на базе netams критического обьема не обнаруженно.
ну вот и сказочке конец, кто слушал, тот молодец.

cyrus_user
сержант
Сообщения: 181
Зарегистрирован: 2007-04-24 12:16:36

Re: Помогите понять проблему.

Непрочитанное сообщение cyrus_user » 2008-05-14 9:04:31

однако оставь на сутки на роутере торчащим в инет слежение за локальными сетями:
tcpdump -ni eth0 tcp and dst port 25 and not dst net <твоя реальная сеть> and not src host <ip твоего почтовика> -w 25.port
анализируй, кто болен, если файл 25.port не пустой

ещё возможно, что на твоём web сервере сломали например php и делают рассылку с него.. а ты и не замечаешь, особенно когда web сервер ещё и заодно и роутер в инет.. тогда полный tcpdump на сутки и тщательный анализ
В НЛО не верю, но верю, что где-то до сих пор вымирают динозавры, bsd, птеродактили, мамонты.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение InventoR » 2008-05-14 9:36:08

Ребят спасибо. но методы простейшие методы борьбы мне знакомы.
В сети был найден паразитирующий компьютер, на нем установлен лицензионный касперский workstation, который ничего не находит.
В открытых портах netstat -a был обнаружен процесс отправляющий письма.
Остается оторвать пятую точку от стула и пойти поглядеть чо там у пользователя происходит.
Теперь будет мне урок, поднимаешь свой почтовик, закрывай в сетке 25 порт.
ну вот и сказочке конец, кто слушал, тот молодец.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение princeps » 2008-05-14 9:54:18

NarkomanLove писал(а):В сети был найден паразитирующий компьютер, на нем установлен лицензионный касперский workstation, который ничего не находит.
Наверное, какой-то сверхновый вирь. Или сверхумный юзер.
NarkomanLove писал(а):Остается оторвать пятую точку от стула и пойти поглядеть чо там у пользователя происходит.
Паяльник и монтировку захвати :wink:
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35352
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите понять проблему.

Непрочитанное сообщение Alex Keda » 2008-05-20 17:59:44

2 тредстартер.
не надо удалять топики которые обсуждаются.
а то запрещу редактировать сообщения на которые есть ответы.
Убей их всех! Бог потом рассортирует...