спам через exim

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

спам через exim

Сообщение LANstalker » Чт май 29, 2014 1:57 am

Добрый день!
Столкнулся с проблемой: гугл занёс ip сервера в спамлист
После изучения логов exim и самого exim обнаружил в очереди огромное число сообщений со статусом frozen, которые сразу удалил
В итоге сейчас 2 сообщения осталось, заголовок одного из них ниже.
Я сделал вывод, что либо скомпрометирован пароль от почты юзера (два оставшихся письма пересылаются через один ящик), либо взлом где-то на сервере.
Пароли на сервере сменил (от почты юзера в том числе), но все же хочу разобраться в чем причина.

Вот заголовки письма (вывод команды exim -Mvh)
Код: выделить все
root@server:~# exim -Mvh 1Wobuc-0002Uk-2N
1Wobuc-0002Uk-2N-H
Debian-exim 106 111
<visage@gmail.com>
1401037722 3
-helo_name hq2.stack.net
-host_address 217.73.199.147.57093
-host_name hq2.stack.net
-interface_address айписервера.25
-received_protocol esmtps
-aclm 0 101
PREPEND X-Greylist: delayed 440 seconds by postgrey-1.34 at server; Sun, 25 May 2014 21:08:42 MSK
-body_linecount 27
-max_received_linelength 74
-tls_cipher TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256
NN user@domain.ru/dovecot_deliver_pipe
1
user@domain.ru

253P Received: from hq2.stack.net ([217.73.199.147])
        by server.fvds.ru with esmtps (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256)
        (Exim 4.80)
        (envelope-from <visage@gmail.com>)
        id 1Wobuc-0002Uk-2N
        for user@domain.ru; Sun, 25 May 2014 21:08:42 +0400
073P Received: (qmail 14664 invoked from network); 25 May 2014 20:45:59 +0400
130P Received: from 11.110.dhaka.net (HELO 44.129.dhaka.net) (122.144.11.110)
  by hq2.stack.net with SMTP; 25 May 2014 20:45:58 +0400
054I Message-ID: <BA6938DF16BE449880A8D6BA71002A32@yatntf>
069F From: =?windows-1251?B?3evl6vLw7uzz9e7h7unq4A==?= <visage@gmail.com>
033T To: "sappah" <yamnitz@gmail.com>
208  Subject: =?windows-1251?B?0eXn7u0g+OD46/vq7uIsIOzz9SDoIOru7ODw?=
        =?windows-1251?B?7uIg7vLq8PvyISDM+yDv7uzu5uXsIOjn4eDi?=
        =?windows-1251?B?6PL88f8g7vIg7ej1IOH78fLw7iEg1+jy4Ony?=
        =?windows-1251?B?5SDq4Ooh?=
038  Date: Sun, 25 May 2014 21:01:14 +0400
018  MIME-Version: 1.0
091  Content-Type: multipart/alternative;
        boundary="----=_NextPart_000_1AE3_01CF785C.76B15050"
014  X-Priority: 3
026  X-MSMail-Priority: Normal
052  X-Mailer: Microsoft Windows Live Mail 16.4.3505.912
056  X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3505.912
LANstalker
 
Сообщений: 7
Зарегистрирован: Вт май 27, 2014 1:20 am

Re: спам через exim

Сообщение Art.i » Чт май 29, 2014 2:47 am

Посмотрите в файле /var/spool/exim/input/1Wobuc-0002Uk-2N-H строку X-PHP-Script: здесь будет указано каким скриптом было отправлено письмо.
Не забывайте оценивать качество работы технической поддержки.
Art.i
Support team
 
Сообщений: 718
Зарегистрирован: Ср сен 25, 2013 2:07 pm

Re: спам через exim

Сообщение LANstalker » Чт май 29, 2014 4:06 am

Эти сообщения я удалил, но появилось новое (получается смена пароля не помогла).
Посмотрел в /var/spool/exim4/input там нет такой строки (и вообще вывод такой же как при exim -Mvh)
Да и сайты все без движков
LANstalker
 
Сообщений: 7
Зарегистрирован: Вт май 27, 2014 1:20 am

Re: спам через exim

Сообщение pepper » Чт май 29, 2014 4:49 am

Посмотрите /var/log/exim4/mainlog, найдите внутри строки с отправкой спама и посмотрите через какой ящик была аутентификация (A=<method>:user@domain.ru).
Посмотреть часть журнала почтовика про определённое письмо можно так:
grep 1Wobuc-0002Uk-2 /var/log/exim4/mainlog

Если увидите какой-то один ящик во многих письмах, он скомпрометирован, смените пароль к нему.
Если смена пароля не помогает (как вы написали в первом сообщении), то удостоверьтесь, что меняете пароль с защищенного компьютера (проверен надёжным антивирусом со свежими базами).
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am

Re: спам через exim

Сообщение LANstalker » Чт май 29, 2014 5:14 am

Записей об аутентификации нет
Но весь спам идет через один ящик
Вот кусок лога, касаемо спама
Код: выделить все
2014-05-29 04:02:40 1Wpnnr-0003UT-UU <= ptaschinski@gmail.com H=(dragon.xyzdns.net) [75.127.76.221] P=esmtps X=TLS1.2:DHE_RSA_AES_256_CBC_SHA256:256 S=2451 id=0D24D82713A34DA794E743146DD15763@vurpd from <ptaschinski@gmail.com> for mail@domain.ru
2014-05-29 04:02:40 1Wpnnr-0003UT-UU => mail (mail@domain.ru) <mail@domain.ru> R=procmail T=dovecot_deliver_pipe
2014-05-29 05:58:20 1Wpnnr-0003UT-UU SMTP error from remote mail server after end of data: host gmail-smtp-in.l.google.com [173.194.71.27]: 421-4.7.0 [188.120.253.22      15] Our system has detected an unusual rate of\n421-4.7.0 unsolicited mail originating from your IP address. To protect our\n421-4.7.0 users from spam, mail sent from your IP address has been temporarily\n421-4.7.0 rate limited. Please visit\n421-4.7.0 http://www.google.com/mail/help/bulk_mail.html to review our Bulk\n421 4.7.0 Email Senders Guidelines. xb4si46993966lbb.4 - gsmtp

2014-05-29 05:58:23 1Wpnnr-0003UT-UU SMTP error from remote mail server after end of data: host alt1.gmail-smtp-in.l.google.com [173.194.64.27]: 421-4.7.0 [188.120.253.22      15] Our system has detected an unusual rate of\n421-4.7.0 unsolicited mail originating from your IP address. To protect our\n421-4.7.0 users from spam, mail sent from your IP address has been temporarily\n421-4.7.0 rate limited. Please visit\n421-4.7.0 http://www.google.com/mail/help/bulk_mail.html to review our Bulk\n421 4.7.0 Email Senders Guidelines. sw9si34657674oeb.11 - gsmtp

2014-05-29 05:58:24 1Wpnnr-0003UT-UU SMTP error from remote mail server after end of data: host alt2.gmail-smtp-in.l.google.com [74.125.142.27]: 421-4.7.0 [188.120.253.22      15] Our system has detected an unusual rate of\n421-4.7.0 unsolicited mail originating from your IP address. To protect our\n421-4.7.0 users from spam, mail sent from your IP address has been temporarily\n421-4.7.0 rate limited. Please visit\n421-4.7.0 http://www.google.com/mail/help/bulk_mail.html to review our Bulk\n421 4.7.0 Email Senders Guidelines. on5si36904671icb.2 - gsmtp

2014-05-29 05:58:26 1Wpnnr-0003UT-UU SMTP error from remote mail server after end of data: host alt3.gmail-smtp-in.l.google.com [74.125.137.26]: 421-4.7.0 [188.120.253.22      15] Our system has detected an unusual rate of\n421-4.7.0 unsolicited mail originating from your IP address. To protect our\n421-4.7.0 users from spam, mail sent from your IP address has been temporarily\n421-4.7.0 rate limited. Please visit\n421-4.7.0 http://www.google.com/mail/help/bulk_mail.html to review our Bulk\n421 4.7.0 Email Senders Guidelines. n56si34992348yhi.22 - gsmtp

2014-05-29 05:58:28 1Wpnnr-0003UT-UU == mailforredirect@gmail.com (mail@domain.ru) <mail@domain.ru> R=dnslookup T=remote_smtp defer (-46): SMTP error from remote mail server after end of data: host alt4.gmail-smtp-in.l.google.com [74.125.29.27]: 421-4.7.0 [188.120.253.22      15] Our system has detected an unusual rate of\n421-4.7.0 unsolicited mail originating from your IP address. To protect our\n421-4.7.0 users from spam, mail sent from your IP address has been temporarily\n421-4.7.0 rate limited. Please visit\n421-4.7.0 http://www.google.com/mail/help/bulk_mail.html to review our Bulk\n421 4.7.0 Email Senders Guidelines. u32si24229310qge.1 - gsmtp


И кстати в логе много попыток авторизации
Код: выделить все
2014-05-29 04:51:07 no IP address found for host customer-189-254-227-35-sta.uninet-ide.com.mx (during SMTP connection from [189.254.227.35])
2014-05-29 04:51:25 auth_login authenticator failed for (188.120.253.22) [189.254.227.35]: 535 Incorrect authentication data (set_id=contact)
2014-05-29 04:51:25 no IP address found for host customer-189-254-227-35-sta.uninet-ide.com.mx (during SMTP connection from [189.254.227.35])
2014-05-29 04:51:43 auth_login authenticator failed for (188.120.253.22) [189.254.227.35]: 535 Incorrect authentication data
LANstalker
 
Сообщений: 7
Зарегистрирован: Вт май 27, 2014 1:20 am

Re: спам через exim

Сообщение pepper » Чт май 29, 2014 5:38 am

>> Но весь спам идет через один ящик
Попробуйте отключить этот ящик, а если ящик нужен вам, то смените пароль к нему на более сложный и вводите этот пароль к ящику только на заведомо незараженных компьютерах.

>> И кстати в логе много попыток авторизации
Если пароль был не слишком сложный, могли подобрать.
Если много попыток с одного IP адреса, можно заблокировать трафик с его подсети (/24) файрволом.
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am

Re: спам через exim

Сообщение LANstalker » Чт май 29, 2014 5:09 pm

pepper писал(а):Попробуйте отключить этот ящик, а если ящик нужен вам, то смените пароль к нему на более сложный и вводите этот пароль к ящику только на заведомо незараженных компьютерах.
Если пароль был не слишком сложный, могли подобрать.
Если много попыток с одного IP адреса, можно заблокировать трафик с его подсети (/24) файрволом.

Пароль был генерированный, сменил тоже на генерированный, силой 60 бит
В итоге примерно через час опять отправка письма
В логах вижу что-то про dovecot
Возможно ли такое, что взломан как-то dovecot, который принимает спам и через exim отправляет его дальше?
LANstalker
 
Сообщений: 7
Зарегистрирован: Вт май 27, 2014 1:20 am

Re: спам через exim

Сообщение ls » Чт май 29, 2014 5:47 pm

Нет, всю почту отправляют вам через exim и он уже далее передает письмо в dovecot чтобы тот положил в ящик
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6384
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: спам через exim

Сообщение pepper » Чт май 29, 2014 5:54 pm

>> В логах вижу что-то про dovecot
Приведите тут, проверим.
>> Возможно ли такое, что взломан как-то dovecot, который принимает спам и через exim отправляет его дальше?
Ранее с подобным я не встречался. ls прав.

Чтобы уменьшить область поиска можете отключить входящий трафик на 25 порт (учтите, что это заблокирует и любую входящую почту), после чего снова смените пароль на ящик, почистите очередь и наблюдайте. Если спас снова пойдет наружу вы будете уверены в том, что почта рассылается именно с сервера (или взломан весь сервер, или всё же из скриптов сайта ведётся рассылка.
Сайты можно отключать по очереди (обнуляя права на директорию с сайтом) и снова проверять есть ли спам, тем самым снова сузив круг поиска.
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am

Re: спам через exim

Сообщение pistol » Пт июл 17, 2015 12:30 am

ТС если сидите на форуме, отпишитесь как решили. Та же проблема с моим форексом.
pistol
 
Сообщений: 24
Зарегистрирован: Вт июн 10, 2008 5:56 pm


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2