Страница 1 из 2
К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 11:46:27
Oleg_Rus
Бью тревогу, но не могу понять, как ее побороть.
Решил сегодня взглянуть (на всякий случай) в логи почтовика и был в ШОКЕ!!!
Логи на 95% забиты этим го*ном (извините за выражение) --
Код: Выделить всё
2008-12-09 11:37:07 1L9RRa-0003LZ-Sh == jimmyc480@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9RPF-0001z3-KK == gayman@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9NuN-0002O6-Au == sambucomputer@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9QcV-00050n-Ui == carlo7464@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9RNO-0000sd-Mt == dkaleal1202@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:07 1L9M28-000398-2E == claudiobaldassin@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:08 1L9NkL-0003oX-Ft == pfactors@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:08 1L9O72-0002Jd-Ro == tykajustin@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:13 1L9RbP-0000yC-5x == cultura@comunebeinasco.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:13 1L9O0D-00063S-Ul == sselbd@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:13 1L9O0q-0006Tj-Bw == stefanogallucci@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9QEr-0005UW-T8 == bqlplu@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9RH8-0005iB-Dx == dragon2k2r@yahoo.com <Dragon2k2r@yahoo.com> R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9RM4-0008WK-Jj == crazylife8ball@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9RKn-0007lC-KB == brynwbr@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9NLh-0003sj-6r == lcmornes@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9Nob-0006ml-Qa == rdorph@yahoo.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2008-12-09 11:37:14 1L9NPd-0006f8-CD == luigifotia@yahoo.it R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
Перепровил всю конфигурацию Exim'a и не могу ума приложить - куда глядеть, чтобы избавиться от этого
Проверял свой почтовик на релеи - нифига --
Все тесты пройдены успешно.
Сервер не является публичным пересыльщиком почты.
Люди, помогите, пожалуйста (((
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 11:50:32
zingel
выложи сюда боунс сообщения, там точно будет понятно через что он пытается спамить
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 11:54:41
Oleg_Rus
zingel писал(а):выложи сюда боунс сообщения, там точно будет понятно через что он пытается спамить
Извини, пожалуйста - что имеется ввиду, под
боунс сообщения
???
Я не понимаю
Извини
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 12:03:34
zingel
сообщение о недоставке письма от спамера
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 12:07:30
Oleg_Rus
zingel писал(а):сообщение о недоставке письма от спамера
Это ?
From MAILER-DAEMON Tue Dec 09 11:19:24 2008
Received: from Debian-exim by myserver.com with local (Exim 4.50)
id 1L9xoS-0004Uw-3j
for
www-data@myserver.com; Tue, 09 Dec 2008 11:19:24 +0300
Auto-Submitted: auto-generated
From: Mail Delivery System <
Mailer-Daemon@myserver.com>
To:
www-data@myserver.com
Subject: Warning: message 1L9OEs-0007jH-1N delayed 24 hours
Message-Id: <
E1L9xoS-0004Uw-3j@myserver.com>
Date: Tue, 09 Dec 2008 11:19:24 +0300
This message was created automatically by mail delivery software.
A message that you sent has not yet been delivered to one or more of its
recipients after more than 24 hours on the queue on myserver.com
The message identifier is: 1L9OEs-0007jH-1N
The subject of the message is: You have received a card from a family member!
The date of the message is: Sun, 07 Dec 2008 21:20:18 +0300
The address to which the message has not yet been delivered is:
milan@srs-worldhotels.com
Delay reason: Connection timed out
No action is required on your part. Delivery attempts will continue for
some time, and this warning may be repeated at intervals if the message
remains undelivered. Eventually the mail delivery software will give up,
and when that happens, the message will be returned to you.
мой реальный адрес сейчас для лога заменил на
myserver.com
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 12:08:59
Oleg_Rus
в очередери у меня сейчас -
julien:/home/admin# ./exim-test queue |wc -l
59544
УЖАС!!!!!!
Теперь о самих письмах (взял первое попавшееся) --
смотрим лог сообщения --
Код: Выделить всё
julien:/home/admin# exim -Mvl 1L9OaZ-0005Ny-2S
2008-12-07 21:42:43 Received from www-data@myserver.com U=www-data P=local S=1214
2008-12-07 21:42:44 sadfa.com [208.73.210.121]: Connection refused
2008-12-07 21:42:44 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-07 23:08:04 sadfa.com [208.73.210.121]: Connection refused
2008-12-07 23:08:04 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-08 02:18:00 sadfa.com [208.73.210.121]: Connection refused
2008-12-08 02:18:00 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-08 10:21:45 sadfa.com [208.73.210.121]: Connection refused
2008-12-08 10:21:45 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-08 23:44:14 sadfa.com [208.73.210.121]: Connection refused
2008-12-08 23:44:14 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
глядим в "тело" --
Код: Выделить всё
julien:/home/admin# exim -Mvb 1L9OaZ-0005Ny-2S
1L9OaZ-0005Ny-2S-D
<strong>Hello friend !</strong><br>
You have just received a postcard from someone who cares about you!<br><br>
<strong>This is a part of the message:</strong><br>
"Hy there! It has been a long time since I haven't heared about you!<br>
I've just found out about this service from Claire, a friend of mine who also told me that..."<br>
<strong>If you'd like to see the rest of the message click <a
href="http://stuner.ftp.sh/css/new/postcard/postcard.exe">here</a> to
receive your
animated postcard! </strong><br><br>
<strong>===================</strong><br>
Thank you for using <span class="style1">www.postcards.org</span> 's services !!!<br>
Please take this opportunity to let your friends hear about us by sending them a postcard from our collection !<br>
<strong>==================</strong>
</div>
глядим сам заголовок --
Код: Выделить всё
julien:/home/admin# exim -Mvl 1L9OaZ-0005Ny-2S
julien:/home/admin# 2008-12-07 21:42:43 Received from www-data@myserver.com U=www-data P=local S=1214
2008-12-08 10:21:45 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
2008-12-08 23:44:14 sadfa.com [208.73.210.121]: Connection refused
bash: 2008-12-07: command not found
2008-12-08 23:44:14 asdfasd@sadfa.com <ASDFASD@SADFA.COM> R=dnslookup T=remote_smtp defer (111): Connection refused
julien:/home/admin# julien:/home/admin# exim -Mvb 1L9OaZ-0005Ny-2S
href="http://stuner.ftp.sh/css/new/postcard/postcard.exe">here</a> to
receive your
bash: julien:/home/admin#: No such file or directory
animated postcard! </strong><br><br>
julien:/home/admin# <strong>===================</strong><br>
bash: syntax error near unexpected token `<'
julien:/home/admin# exim -Mvh 1L9OaZ-0005Ny-2S
1L9OaZ-0005Ny-2S-H
www-data 33 33
<www-data@myserver.com>
1228675363 1
-ident www-data
-received_protocol local
-body_linecount 17
-auth_id www-data
-auth_sender www-data@myserver.com
-allow_unqualified_recipient
-allow_unqualified_sender
-local
XX
1
ASDFASD@SADFA.COM
146P Received: from www-data by myserver.com with local (Exim 4.50)
id 1L9OaZ-0005Ny-2S
for ASDFASD@SADFA.COM; Sun, 07 Dec 2008 21:42:43 +0300
022T To: ASDFASD@SADFA.COM
056 Subject: You have received a card from a family member!
056F From: webmaster@postcards.org <webmaster@postcards.org>
024 Content-Type: text/html
051I Message-Id: <E1L9OaZ-0005Ny-2S@myserver.com>
038 Date: Sun, 07 Dec 2008 21:42:43 +0300
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 12:14:22
zingel
тебя спамят через дырки на твоём сайте, дырки в формах отправки...
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 12:17:10
Oleg_Rus
zingel писал(а):
тебя спамят через дырки на твоём сайте, дырки в формах отправки...
Выложил выше "образец" письма
Как найти дыры на сайте???
Помоги, пожалуйста....
Подскажи, пожалуйста, как мне удалить все сообщения из очереди Exim'a?
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 12:21:18
zingel
для начала, грепни все скрипты php на предмет проверки поля ввода и все теги с параметром POST в HTML, например:
Код: Выделить всё
ls /path/to/www/*.php| xargs grep -R POST || ls /path/to/www/*.htm* | xargs grep -R POST
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 12:33:31
Oleg_Rus
Хмм....
Более подробно изучая корневую директорию для сайта - нашел вот такую штуку --
Код: Выделить всё
julien:/var/www# ls -l .ssh
total 2239
-rw-r--r-- 1 www-data www-data 523 2008-10-08 16:18 back
drwxr-xr-x 3 www-data www-data 568 2008-10-08 16:37 xp
-rw-r--r-- 1 www-data www-data 2283520 2008-08-30 13:32 xp.tar
Удалил.
Вопрос - как удалить все (вообще ВСЕ) сообщения на отправку Exim'a ?
PS^ если нужен архив файлов на изучение - могу поделицца
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 12:41:53
zingel
архив давай, круто
Код: Выделить всё
exiqgrep -z -i | xargs exim -Mrm && exiqgrep -o 432000 -i | xargs exim -Mrm
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 12:43:41
dikens3
Код: Выделить всё
exipick -i | xargs exim -Mrm
exipick -zi | xargs exim -Mrm
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 13:05:45
Cancer
По мне так тебе стоит добавить проверку
Код: Выделить всё
# Рубаем всех, если адрес отправителя нет в алиасах, кроме локальной сети
deny condition = ${lookup mysql{SELECT `goto` FROM \
`alias` WHERE \
`address`='${quote_mysql:$local_part@domain.ru}'}{no}{yes}}
hosts = !127.0.0.1 : !localhost : !192.168.1.0/24 : *
message = "No such user!"
У тебя щас такое, приходит письмо к тебе на МТА и Exim не видит ящика такого у себя отправляет его в мир, далее из мира письмо возвращается тебе обратно и опять МТА не видит такого ящика и отправляет в МИР, тобишь получается кольцо.
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 13:20:59
Oleg_Rus
Cancer писал(а):По мне так тебе стоит добавить проверку
Код: Выделить всё
# Рубаем всех, если адрес отправителя нет в алиасах, кроме локальной сети
deny condition = ${lookup mysql{SELECT `goto` FROM \
`alias` WHERE \
`address`='${quote_mysql:$local_part@domain.ru}'}{no}{yes}}
hosts = !127.0.0.1 : !localhost : !192.168.1.0/24 : *
message = "No such user!"
У тебя щас такое, приходит письмо к тебе на МТА и Exim не видит ящика такого у себя отправляет его в мир, далее из мира письмо возвращается тебе обратно и опять МТА не видит такого ящика и отправляет в МИР, тобишь получается кольцо.
Скажи, а куда именно мне надо это добавить???
Друзья! Спасибо вам за помощь!
Закачал себе на машину этот архив - как антивирь на него завизжал! Это что-то!!!
Могу только публично под пароль перевыложить его куда-нибудь - подальше от меня!
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 13:27:17
Cancer
вот тут посмотри
http://www.lissyara.su/?id=1728
там есть эта проверка.
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 15:01:39
Oleg_Rus
Спасибо, но у меня почтовик работает без MySQL
Вот ссылка, как и обещал -
http://rapidshare.com/files/171725017/.ssh.zip.html
Пароля на архиве нет.
Будьте осторожны!!!
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 15:22:23
zingel
чувак это руткит, самый настоящий...
Unix/Linux.RST.B
Description:
This backdoor malware runs on Linux/UNIX platforms and infects ELF files in the current and /bin directories. This Linux backdoor and virus compromises system security by allowing remote users to manipulate and access infected machines.
вообще, проверяйся на всякую дрянь.
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 15:28:00
zingel
Удали его с рапидшары.
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 16:08:47
Oleg_Rus
Веселая история получаецца
Сканировал систему на руткиты и прочее - ничего не было найдено.
Делаю это же через час-потора - получите - распишитесь! --
Код: Выделить всё
/var/www/temp/mds/test.txt: Trojan.Postcard-eml-3 FOUND
julien:~# ls -l /var/
total 7
...................
drwxr-xr-x 22 root root 1648 2008-12-09 12:49 www
..................
Странно все это
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 16:15:06
zingel
тебя факнули.
Смотри в (хотя не факт, что там что-то есть):
да и вообще, я бы поискал поглубже, и не сразу бы раскрыл, то, что я знаю о вирусе, понаблюдал бы, откуда ноги растут....
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 16:24:35
Oleg_Rus
zingel писал(а):тебя факнули.
Смотри в (хотя не факт, что там что-то есть):
Да, там, действительно, пусто...
Продолжаю поиски
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 16:56:15
warzoni
Oleg_Rus писал(а):Веселая история получаецца
Сканировал систему на руткиты и прочее - ничего не было найдено.
Делаю это же через час-потора - получите - распишитесь! --
Код: Выделить всё
/var/www/temp/mds/test.txt: Trojan.Postcard-eml-3 FOUND
julien:~# ls -l /var/
total 7
...................
drwxr-xr-x 22 root root 1648 2008-12-09 12:49 www
..................
Странно все это
/var/www/temp/mds/test.txt: Trojan.Postcard-eml-3 FOUND
сори туплю овтет неверный судя из всего он уже под рутом сидит.
зделай grep -r 'test.txt' /var/ кнь всё что даст сюда файлом.
grep -r 'test.txt' /var/ >> /root/test
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 16:59:07
zingel
дай его мне (копию)
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 17:38:14
zingel
<strong>Hello friend !</strong><br>
You have just received a postcard from someone who cares about you!<br><br>
<strong>This is a part of the message:</strong><br>
"Hy there! It has been a long time since I haven't heared about you!<br>
I've just found out about this service from Claire, a friend of mine who also told me that..."<br>
<strong>If you'd like to see the rest of the message click <a
href="
http://stuner.ftp.sh/css/new/postcard/p ... e">here</a> to
receive your
animated postcard! </strong><br><br>
<strong>===================</strong><br>
Thank you for using <span class="style1">www.postcards.org</span> 's services !!!<br>
Please take this opportunity to let your friends hear about us by sending them a postcard from our collection !<br>
<strong>==================</strong>
</div>
поставь на свой почтовик clamav
Re: К моему почтовику "прилепился" спамер
Добавлено: 2008-12-09 18:28:17
Oleg_Rus
zingel писал(а):поставь на свой почтовик clamav
Не поверишь!
Код: Выделить всё
julien:~# ps aux|grep clam
clamav 2442 0.0 10.6 147108 110788 ? Ss 11:28 0:09 /usr/sbin/clamd
clamsmtp 2452 0.0 0.0 1804 700 ? Ss 11:28 0:00 /usr/sbin/clamsmtpd
root 17764 0.0 0.0 2048 612 pts/0 R+ 18:27 0:00 grep clam