Внезапно большой исходящий трафик. Как найти причину?

Question

[Станислав Фатеев]

На сервере CentOS 6.5

Comments

[Станислав Фатеев]

нашел в логах plesk'a такое:

Jan 16 03:41:34 dev postfix/smtp[508]: 2EDB030021D: to=<groveers@hotmail.com>, relay=none, delay=8581, delays=8430/0.03/150/0, dsn=4.4.1, status=deferred (connect to mx2.hotmail.com[65.55.92.136]:25: Connection timed out)
Jan 16 03:41:34 dev postfix/smtp[509]: 2B13C300095: to=<tatumbgg@hotmail.com>, relay=none, delay=4474, delays=4323/0.04/150/0, dsn=4.4.1, status=deferred (connect to mx3.hotmail.com[65.54.188.94]:25: Connection timed out)
Jan 16 03:41:34 dev postfix/error[4203]: 2275B30019A: to=<neomcahc@hotmail.com>, relay=none, delay=130455, delays=130305/150/0/0.1, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mx1.hotmail.com[65.54.188.110]:25: Connection timed out)
Jan 16 03:41:34 dev postfix/error[4205]: 0BFF1300144: to=<elbaafe@hotmail.com>, relay=none, delay=218561, delays=218411/150/0/0.09, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mx1.hotmail.com[65.54.188.110]:25: Connection timed out)

[Станислав Фатеев]

и вывод postqueue -p

3190B3000A6     1159 Wed Jan 15 10:41:19  apache@***.com
(delivery temporarily suspended: connect to mx3.hotmail.com[65.54.188.72]:25: Connection timed out)
                                         kveinjv@hotmail.com

B69F03002B5     1166 Thu Jan 16 09:20:28  apache@***.com
(delivery temporarily suspended: connect to mx1.hotmail.com[65.55.92.184]:25: Connection timed out)
                                         danaewyg@hotmail.com

B496F300183     1162 Mon Jan 20 03:11:50  apache@***.com
(delivery temporarily suspended: connect to mx1.hotmail.com[65.54.188.126]:25: Connection timed out)
                                         navtajd@hotmail.com

Answer 1

[kzk888]

Если в результате брутфорса был подобран логин и пароль и осуществлён вход в систему, тем более с правами супер пользователя, то система могла быть использована как площадка для проведения дальнейшей атаки на какой-либо хост, рассылки спама, да чего угодно, тем более с root доступом логи могли и почистить.

Как вариант, если есть backup, то разворачивайте его.
Ну и смените стандартный порт ssh сервера и выставьте ограничение на число попыток авторизации за некоторый период времени.

Answer 2

[Станислав Фатеев]

видимо на сервер никто не проникал, а причиной был спам вордпрессовского сайт, регистрациями юзеров с рандомными емайлами, в результате чего было создано куча юзеровских профилей со спамом на китайском языке

Answer 3

[Станислав Фатеев]

уточнил вопрос

Comments

[kzk888]

Если эти все письма не Вы отправляли, то, как и написал, вашу площадку использовали для рассылки спама.
измените пароли (более сильнее), удалите лишних юзеров.

[Станислав Фатеев]

а как можно найти источник? хотелось бы докопаться до места проникновения

[kzk888]

почитайте, будет полезно habrahabr.ru/post/112789
пароли могли стыбзить из браузера если хранили или брутфорс.
cat /var/log/auth.log для того чтобы узнать кто заходил по SSH

Answer 4

[mace-ftl]