Кто-то отправляет через Postfix письма с моего сервера, как найти и запретить?

Question

[Kennylex]

Всем привет, у меня на сервере стоит postfix в качестве почтового сервиса, настроен нормально, недавно кто-то каким-то непонятным для меня образом начал отправлять с него письма, ниже приложу логи постфикса, в dovecot как и в postfix левых подключений нет, кто может помогите пожалуйста

Oct 01 20:25:31 домен postfix/qmgr[1402]: A0DC7E85CF: from=<admin@домен>, size=1546, nrcpt=20 (queue active)
Oct 01 20:25:31 домен postfix/qmgr[1402]: AC8D7E7CEB: from=<admin@домен>, size=1546, nrcpt=20 (queue active)

И таких сообщений около 10-30 в минуту
Кто знает каким образом это делают и что это вообще?

Comments

[Drno]

ssh закрыт?
может кто ломанул пас аккаунта?

[Kennylex]

Drno, я смотрел логи подключений, никто не подключался, хотя возможно в ваших словах есть доля правды, на всякий случай сменю, спасибо

[Drno]

Kennylex, ну если не подключался, то в логах должен быть зловредный акк...

[Kennylex]

Drno, в логах системы из подключений к серверу только я, а в логах postfix вообще никого, только эти сообщения, я попробовал по SMTP подключиться, там совершенно другой лог выводит вместе с ip подключившегося, а тут никакой информации кроме того что письмо добавлено в очередь, поэтому ничего и не понятно

[AlexVWill]

Напиши. каким образом настроена авторизация в SMTP?

[Kennylex]

AlexVWill, авторизация проходит через обычные настройки postfix + mysql, то есть сами аккаунты хранятся в таблице mysql, лог пас и т.д., без логина и пароля нельзя отправить письмо извне, юзер подключается, данные проверяются из базы и тогда уже даёт ответ дада нетнет, при попытке авторизации это логгируется, но опять таки здесь нет логов авторизации

[Kennylex]

AlexVWill, ну связка postfix + dovecot + mysql если быть точнее

[AlexVWill]

Kennylex, посмотри, не отправляет ли таким образом сервер какие то системные сообщения? Не помню где это настраивается, но можно погуглить. У меня настроено сообщать при перезагрузке сервера, но возможно у тебя есть настройка на какие то еще системные события вроде нехватки места, вот он и спамит куда то...

[Kennylex]

AlexVWill, увы, но нет, я смотрел в очередь, там рассылка на различные адреса я так понимаю из какой-то базы для спама, сообщеньки по типу, перейди стань богатым, фишинг всякий... У меня настройка на расчет того что любые ошибки будут вестись именно в нужный мне лог, по типу нехватки памяти и т.д., ума не приложу уже в чём может быть дело...

[Kennylex]

AlexVWill, тут выполняется какой-то скрипт по спаму, там отправляется каждые 5 минут по ~1000 сообщений, тех поддержка хоста жалуется на спам уже

[Kennylex]

AlexVWill, самое странное и что вообще мне не понятно, в самом постфиксе у меня стоит сохранение любых сообщений и отправленных и принятых в базу, но эти отправленные сообщения конкретно в mysql не записываются

[AlexVWill]

Kennylex, отключи пока сервер, чтобы в blacklist не попасть. Ну и проверь, нет ли настройки сервера как релея, смени пароли все, антивирусом прогнать сервер можно.

[Drno]

Kennylex, если отправляется 10050 писем раз в N минут -
выведи список юзеров, проверь их crontab
ну и про релей верно заметили

[Kennylex]

Drno, пусто(

[Владимир Дубровин]

Погрепайте по идентификатору очереди (например A0DC7E85CF) - будет видно откуда взялось письмо

Answer 1

[AUser0]

Если в логах есть отправка писем, но нет сообщений о подключении клиента, отправляющего это письмо - значит письмо сгенерировано и отправлено самим сервером. Ищите дыру/взлом в скриптах WEB-сайта, и т.д.

Comments

[Kennylex]

Если бы через дыру WEB-сайта отправлялось, в базу бы записывало, а так ничего нет

Answer 2

[Виктор Таран]

1. батенька да вы больны, в смысле не тупые а болеете, у вас вирус.
2. Да нужно будет его удалять, да и еще по хорошему поднять версию cms там где он это умудрился сделать.
3. Если у вас пхп
в php.ini

mail.add_x_header = On
mail.log = /tmp/phpmail.log

Соответственно не забывая создать сам файл

touch /tmp/phpmail.log &&  chmod 777 /tmp/phpmail.log

Если вы хорош читаете логи в потоке и умеете юзать греп, то можно сделать проще, пихнуть все в syslog заменив лог на вот это
mail.log = syslog
Теперь все что вам остается это
рестартануть пхп
и смотреть файл, суть этой директивы следующая.
Она будет писать именно какой файл и какая его строка и когда вызвала отправку почты.
Пример вывода:

X-PHP-Originating-Script: :<имя скрипта>.php
mail() on [/var/www/vhosts/site.com/httpdocs/pages/modules/system/system.mail.inc:83]: To: smith@domain.co.uk — Headers: MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed; delsp=yes Content-Transfer-Encoding: 8Bit X-Mail

Ну и все что вам остается пойти и посмотреть что же за чудеса в этом файле происходят.