Кол-во почтовых подкл. в 100 раз превышает среднее значение

вопросы по устройству ВДС, ресурсам, предустановленному софту и т.д.

Модераторы: Art.i, garry

Кол-во почтовых подкл. в 100 раз превышает среднее значение

Сообщение Shooshpanius » Пн апр 18, 2016 2:02 pm

День добрый!

Один из арендуемых нами у Вас серверов является почтовым фронтендом нашего холдинга. Через него идет во вне (и внутрь) весь почтовый траффик со всех наших внутренних почтовых серверов. Также на нем работает по IMAP один из филиалов.

С некоторого времени от вашей системы стали поступать сообщения следующего содержания:

Код: выделить все
Ваша услуга VDS-KVM-Форсаж #****** (***, ****.ru) пересылает много почтового трафика. Количество почтовых подключений с вашего сервера в 100 раз превышает среднее значение по нашему ДЦ. Такая аномальная активность указывает на то, что на сервере размещено программное обеспечение, противоречащее условиям предоставления услуг хостинга.

Мы не стали принимать никаких блокирующих мер, учитывая что вы долгое время сотрудничаете с нами. Мы готовы обсудить с вами причины такой активности и, при необходимости, проконсультировать вас.

Если вы используете услугу для легальных рассылок, напишите нам об этом. Мы рассмотрим вопрос в индивидуальном порядке и активируем услугу.

Это информационное письмо будет продолжать приходить пока не снизится нагрузка или ваша услуга не будет добавлена в белый список.


Далее последовала следующая переписка:

Код: выделить все
МЫ: Данный сервер является основным почтовым фронтендом нашего холдинга. Также на нем по imap работает один из наших офисов.

ВЫ:
У вас есть возможность понизить нагрузку на сервер?
Так как видим что у Вас очень много запросов на аналогичную тему - Spam from **.**.**.**
Просим Вас выполнить проверку.

МЫ:
Уточните, пожалуйста, подключения какого типа (протокол, порт, тип траффика) превышают среднее значение по Вашему ДЦ?

ВЫ:
Передаю ваш запрос техническим консультантам.
Вам ответит первый освободившийся специалист.


После чего через заббикс отрапортовал о перезагрузке сервера.....

Захожу по ssh и вижу, что да, действительно, сервер был отправлен в ребут, а в логе авторизации следующее:

Apr 18 10:10:01 mx2 login[501]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root
Apr 18 10:10:04 mx2 login[501]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure
Apr 18 10:10:19 mx2 login[501]: FAILED LOGIN (2) on '/dev/tty1' FOR 'root', Authentication failure
Apr 18 10:12:30 mx2 saslauthd[528]: detach_tty : master pid is: 528
Apr 18 10:12:30 mx2 saslauthd[528]: ipc_init : listening on socket: /var/spool/postfix/var/run/saslauthd/mux
Apr 18 10:12:30 mx2 sshd[437]: Server listening on 0.0.0.0 port **.
Apr 18 10:12:30 mx2 sshd[437]: Server listening on :: port **.

Дальнейший диалог:

Код: выделить все
МЫ:
Уточните, пожалуйста, причину рестарта данного сервера в 10:12?
С какой целью была предпринята попытка входа на данный сервер?
Apr 18 10:10:01 mx2 login[501]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root
Apr 18 10:10:04 mx2 login[501]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure
Apr 18 10:10:19 mx2 login[501]: FAILED LOGIN (2) on '/dev/tty1' FOR 'root', Authentication failure

ВЫ:
Предоставьте пожалуйста адреса, с которых были произведены попытки авторизации и перезапуск сервера.

МЫ:
Судя по фрагменту лога, попытки авторизации были произведены локально или через KVM:
Apr 18 10:10:01 mx2 login[501]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root
Apr 18 10:10:04 mx2 login[501]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure
Apr 18 10:10:19 mx2 login[501]: FAILED LOGIN (2) on '/dev/tty1' FOR 'root', Authentication failure

ВЫ:
В таком случае это мог сделать кто угодно, например злоумышленник, пытающийся вас взломать. С нашей стороны без вашего запроса и подтверждения входы на сервер и перезагрузка не осуществляется.
Тем не менее, если вы хотите закрыть этот вопрос, вам необходимо устранить проблему с постоянным высоким почтовым трафиком (видим, что у вас много запросов по этой теме уже было) и предоставить нам доступ к вашему серверу, чтобы мы проверили, внесены ли были изменения.


Уважаемые, я не узнаю организацию, с которой мы работаем уже много лет... Мы потратили в общей сложности часа 2 на телефонные переговоры в попытках узнать, в 100 раз от какого значениия мы превышаем почтовый траффик? Вместо внятного ответа последовали рестарты сервера и попытки входа под рутом. Последний телефонный разговор закончился на том, что Ваш специалист попросил ограничить почтовый траффик или отказаться от Ваших услуг. Последнее письмо из переписки тоже говорит о том же - либо рутовый доступ и снижение траффика, либо никак. При том, задумайтесь, что в сутки проходит максимум 1500-2000 писем. Если данная цифра превышает какой-то из лимитов (какой Вы так и не указали) в 100 раз, то что, средняя почтовая активность предоставляемая Вашими серверами составит максимум 15-20 писем в день с сервера? Не смешно ли... хотя скорее уже грустно....
Shooshpanius
 
Сообщений: 19
Зарегистрирован: Вс мар 25, 2012 5:50 pm

Re: Кол-во почтовых подкл. в 100 раз превышает среднее значе

Сообщение Art.i » Пн апр 18, 2016 2:18 pm

Здравствуйте,
Напишите пожалуйста ID запроса или ID клиента. Постараемся разобраться с вашим вопросом.
Art.i
Support team
 
Сообщений: 719
Зарегистрирован: Ср сен 25, 2013 2:07 pm

Re: Кол-во почтовых подкл. в 100 раз превышает среднее значе

Сообщение Shooshpanius » Пн апр 18, 2016 2:29 pm

Код клиента и запроса в ЛС.
Shooshpanius
 
Сообщений: 19
Зарегистрирован: Вс мар 25, 2012 5:50 pm

Re: Кол-во почтовых подкл. в 100 раз превышает среднее значе

Сообщение Art.i » Пн апр 18, 2016 2:53 pm

Вижу запрос, вам сейчас в нём ответят.
Art.i
Support team
 
Сообщений: 719
Зарегистрирован: Ср сен 25, 2013 2:07 pm

Re: Кол-во почтовых подкл. в 100 раз превышает среднее значе

Сообщение Shooshpanius » Пн апр 18, 2016 3:11 pm

Извиняюсь, но опять то же самое... Ваш специалист заявил следующее:

Прошу прощения Вас немного ввели в заблуждение. Нет никаких ограничений по лимитам, просто мы работаем индивидуально с клиентами имеющие рассылки. Мы бы хотели ознакомится с вашим потовым спулом, можете предоставить доступ к серверу?


Уважаемые, на каком основании я могу предоставить Вам доступ к серверу с корпоративной почтой, которая является конфиденциальной информацией? Еще раз повторюсь - сервер используется как корпоративный почтовик, мы не занимаемся рассылками.
Shooshpanius
 
Сообщений: 19
Зарегистрирован: Вс мар 25, 2012 5:50 pm


Вернуться в Вопросы о работе сервера

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6