Som spamer, da sa to liecit?

Zdravim,

mam taky problem. Mam sukromny server na internete. System Linux FC6. Klasicky LAMP server. Bezi na nom aj mejlovy server: postfix, mysql, currier-imap a squirellMail.

Stalo sa ze tento server bol hacknuty. Cez chkrootkit som tam nasiel trojany a kopu ineho svinstva. To vsetko som odstranil. Ale postfix stale posiela spam. Ked ho spustim tak v logu vidim ako posiela kopu mejlov. Tak ze ho mam stopnuty.

Otazka: Ako sa toho zbavit? Postfix mam nastaveny aby prijimal postu len z localhost, tak ze musi byt na mojom stroji nieco co to posiela. Mate s tym skusenosti? Viete poradit?

Diky.

Pokud by k necemu takovemu doslo na mem stroji, rozhodne bych se nepokousel nic odstranovat. Zazalohoval bych data a reinstaloval. Nikdy nevite, co se vam kde schovalo. Jinak v logu by melo byt presne videt, odkud a kam neco prislo. A take doporucuji mailq, treba je to vazne jen ve frontach.

18.4.2007 14:27 Ivo
Rozbalit Rozbalit vše Re: Som spamer, da sa to liecit?

Tak tu je priklad z maillog:

Apr 17 21:25:14 server postfix/pickup[10595]: warning: 23446275C2F: message has been queued for 19 days
Apr 17 21:25:14 server postfix/qmgr[10596]: 203F828DD82: from=<reeseyglowa (at) 4funlsi.com>, size=1927, nrcpt=5 (queue active)
Apr 17 21:25:14 server postfix/smtp[10609]: 291DE275C11: to=<STEVEMCCAIN35226 (at) AOL.COM>, relay=mailin-01.mx.AOL.COM[64.12.137.184], delay=2488252, status=sent (250 OK)
Apr 17 21:25:14 server postfix/pickup[10595]: 23446275C2F: uid=0 from=<root>
Apr 17 21:25:14 server postfix/cleanup[10618]: 23446275C2F: message-id=<20070417192514.23446275C2F@server.i4u.sk>

Moc z toho nie je jasne co to posiela. Alebo mam pozriet iny log?

18.4.2007 15:00 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Som spamer, da sa to liecit?

Tak tu je priklad z maillog:

Apr 17 21:25:14 server postfix/pickup[10595]: warning: 23446275C2F: message has been queued for 19 days

Takže je to ve frontě. Tu by mělo promazat

postsuper -d ALL

19.4.2007 11:42 Ivo
Rozbalit Rozbalit vše Re: Som spamer, da sa to liecit?

Super, diky. To som potreboval.

18.4.2007 15:01 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Som spamer, da sa to liecit?

Jednoduše pokud je postfix pouze pro vás tak odpojit PC od sítě (vytáhnout kabel).

Odstranit napadené věci - asi je nejlepší to smazat vše mimo home a dalších dat co máte jinde a nainstalovat znovu (pro jistotu zazálohovat data)

Potom nastavit postfix aby přijímal maily jenom z vašeho PC a pokud ten postfix nepřijímá poštu pro váš PC (máte pop a imap účty jinde - postfix slouží pouze na odesílání) tak zablokovat port 25 na firewallu zvenku.

PS. jak už radily koukněte zda nemáte maily k odeslání už přijaté ve frontě pomocí mailq.

20.4.2007 13:37 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Som spamer, da sa to liecit?

hlavne mi to pripada, ze ten postfix je opravdu open relay, takze jestli toto neodstrani, nevyresi se nic .. Kolega psal, ze ma nastaveny jem localhost, ale evidentne spatne ...

Never give up ! Stay ATARI !

Dotaz: Som spamer, da sa to liecit?

Odpovědi