Portál AbcLinuxu, 10. května 2025 07:11

Dotaz: Rozposielam spamy

12.11.2011 19:49 tonoh | skóre: 6
Rozposielam spamy
Přečteno: 423×
Odpovědět | Admin
Ako zabranim tomu aby moj debian server neposielal spamy, totiz mi volali z telecomu. Ako to zistim, v logoch? a v ktorych? Co by som mal urobit aby som tomu zabranil. Som zacinajuci v linuxe. Dakujem
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Jendа avatar 12.11.2011 20:16 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Rozposielam spamy
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pravděpodobně máš mailserver nastavený jako open-relay - to znamená, že se kdokoli odkudkoli může připojit a posílat kolik zpráv se mu zachce. Jak tomu zabránit najdeš v dokumentaci ke svému mailserveru - nenapsal jsi, jaký máš, ani jsi nepřiložil výpis nainstalovaných balíčků/spuštěných procesů (dpkg -l, netstat -tlp, ps axu), takže lépe se odpovědět nedá.

Maily se logují do /var/log/mail.log.
12.11.2011 20:43 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Rozposielam spamy
Odpovědět | | Sbalit | Link | Blokovat | Admin
Hlavne ten server nereštartuj, mohol by si zahladiť stopy.

Najprv zastav všetky služby na serveri, odpoj sieť a začni skúmať.

Neviem aké máš vedomosti o linuxe. Po inštalácii debianu sú spustené viaceré služby. U verzie 6 sú to viaceré služby, samozrejme záleži o aký typ inštalácie sa jedná. Ale väčšinou tam patrí exim4, nfs, portmap (RPC ?).

Pre budúcnosť si najprv pozri tieto stránky (debian 6) : Link 1 Link 2
Root v linuxe : "Root povedal, linux vykona."
12.11.2011 21:06 rastos | skóre: 63 | blog: rastos
Rozbalit Rozbalit vše Re: Rozposielam spamy
Najprv zastav všetky služby na serveri, odpoj sieť a začni skúmať.

Howto hovorí: najprv odpojiť káble. Ten kto robí neplechu to vidí ako dočasnú poruchu v spojení. Takže to poradie by som trocha prehádzal: odpojiť, preskúmať, zastaviť (alebo lepšie preinštalovať).

To preskúmanie by som začal skúmaním výstupu netstat -np aby som zistil proces, ktorý maily posiela. Potom by som pozrel na symlink /proc/{pid}/exe a na súbor, na ktorý ukazuje, skontroloval či sedí s tým čo je v balíku ...

Tiež by bolo zaujímavé vedieť, či tvoj server len nepreposiela maily z nejakého napadnutého stroja v LAN, alebo či na tvojom serveri nebeží napr. web server dostupný zvonka, ktorý mohol byť napadnutý ...
Jendа avatar 13.11.2011 00:27 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Rozposielam spamy
Nový „admin“ stroje může na ztrátu L2 konektivity navázat přepisovací skripty.

Pravděpodobně je to mailserver v konfiguraci open-relay nebo někdo uhádl přes SSH heslo (bylo dostatečně kvalitní?).
12.11.2011 20:51 tonoh | skóre: 6
Rozbalit Rozbalit vše Re: Rozposielam spamy
Odpovědět | | Sbalit | Link | Blokovat | Admin
nemam pri sebe server, takze neviem ake procesy prebiehaju ale viem,ze som server nekofiguroval na mailserver, mam tam iba standart, akurat som tam naistaloval privoxy pre filtrovanie webstranok asi 20 pocitacov pripojenych na internet cez tento server
12.11.2011 20:59 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Rozposielam spamy
No, čistě teoreticky v tom základu mohl být nainstalovaný nějaký MTA s blbou konfigurací, ikdyž by se to stávat nemělo... koukni se, co ti tam běží za procesy a zda tam nevidíš nějaký MTA běžet (postfix, exim, ...) - pokud tam mailserver nemáš, tak takový proces by tam běžet neměl.
13.11.2011 09:20 Ragzid | skóre: 24 | blog: Pivní koutek | Liberec-Brno
Rozbalit Rozbalit vše Re: Rozposielam spamy
Ve vychozim stavu se v Debianu instaluje pokud vim Exim4, v ramci splneni doporucenych zavislosti baliku [code]popularity-contest[/code] (i v pripade, ze clovek se nechce pruzkumu oblibenosti baliku zucastnit). Staci jej nahradit napriklad nullmailerem.
frEon avatar 12.11.2011 21:40 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Rozposielam spamy
takze to taky muze byt nejaky z tech 20ti pocitacu za nim....

K cemu vsemu ten server jeste pouzivas?
Talking about music is like dancing to architecture.
MMMMMMMMM avatar 13.11.2011 08:51 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Rozposielam spamy
Odpovědět | | Sbalit | Link | Blokovat | Admin
/var/log/maillog?
Linux Dokumentační Projekt - PDF ke stažení
13.11.2011 11:16 tonoh | skóre: 6
Rozbalit Rozbalit vše Re: Rozposielam spamy
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tento server pouzivam na pridelovanie IP adries 20 pocitacov a filtrovanie webstranok cez privoxy, to je vsetko.
13.11.2011 11:35 Alf | skóre: 18
Rozbalit Rozbalit vše Re: Rozposielam spamy

Máte 100% jistotu, že to rozesílá zrovna tento server? Nemáte třeba na celou síť jen jednu veřejnou IP?

13.11.2011 11:47 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Rozposielam spamy
Pokiaľ na ňom nebeží mail server, tak asi prepúšťa SPAM z nejakého zombíka ktorý je zaním schovaný.

Takže si zapni štatistiky nad iptables a sprosto odstrihni toho čo posiela viac pošty ako je slušné.

PS.: ten stroj nepoužívaš len na pridelovanie IP adries, ale aj na smerovanie dát z/do internet(u).
MMMMMMMMM avatar 13.11.2011 11:54 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Rozposielam spamy
Já bych klientům za serverem (je tam NAT? trošku mi připadá, že sám autor vlákna o tom nemá sebemenší ponětí) zakázal komunikaci ven na tcp port 25 (smtp), na serveru rozjel mail server a klientům umožnil komunikaci na smtp jen přes něj, samozřejmě žádný open relay. :-)

Pokud autor nemá ponětí o základním fungování, doporučil bych spíše oslovit někoho, kdo mu to nastaví, případně pak i vysvětlí. Každý jsme nějak začínali...
Linux Dokumentační Projekt - PDF ke stažení

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.