Mój serwer pocztowy wysyła dużo spamu za pośrednictwem mojej domeny


Przez mój serwer pocztowy jest wysyłanych dużo spamu. spam używa pseudonimów, które nie należą do zarejestrowanych użytkowników. w

mailq

wynik polecenia wyświetla następujący komunikat:

487A1600698C2 1901 pt. 27 stycznia 09:35:15 desarae_leclerc@mydomain.com (host mx-eu.mail.am0.yahoodns.net [188.125.69.79] powiedział: 421 4.7.0 [TSS04] Wiadomości z www.xxx.yyy .zzz zostało tymczasowo opóźnione z powodu skarg użytkowników - 4.16.55.1; patrz

https://help.yahoo.com/kb/postmaster/SLN3434.html
https://help.yahoo.com/kb/postmaster/SLN3434.html
(w odpowiedzi na polecenie MAIL FROM)) h.anseur@yahoo.fr
491A4600698AE 1265 pt. 27 stycznia 09:36:43 www-data@mail.mydomain.com (dostawa tymczasowo zawieszona: utracono połączenie z mta5.am0.yahoodns.net [66.196.118.36] podczas wysyłania RCPT TO) ejbmarine_chik20@yahoo.com
4888D600698B9 1280 pt. 27 stycznia 09:34:58 www-data@mail.mydomain.com (dostawa tymczasowo zawieszona: utracono połączenie z mta5.am0.yahoodns.net [66.196.118.36] podczas wysyłania RCPT TO) tiff549@yahoo.com

Jak widać, nawet dane www użytkowników są spamem. Wykonuję polecenie

postsuper -d WSZYSTKIE

aby usunąć wszystkie e-maile z kolejki, ale w tym prawidłowe.
Używam/etc/postfix/sender_access do czarnej listy wszystkich aliasów lub nieautoryzowanych nadawców, w pliku jest faktycznie ponad 8000 wpisów
To jest wynik

postconf -n

zespół

alias_database = hash:/etc/aliases

alias_maps = hash:/etc/aliases

append_dot_mydomain = no

biff = nie

broken_sasl_auth_clients = yes

config_directory =/etc/postfix

content_filter = smtp-amavis: [127.0.0.1]: 10024

disable_vrfy_command = no

inet_interfaces = all

mailbox_size_limit = 0

mydestination = mail, localhost.localdomain, localhost

myhostname = mail.mydomain.com

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0 impression/104 [:: 1]/128 192.168.0.0/24 172.16.16.0/24

readme_directory = no

recipient_delimiter = +

smtp_tls_session_cache_database = btree: $ {data_dir}/smtp_scache

smtpd_banner = mydomain.com Microsoft Exchange Server 2003

smtpd_client_restrictions = reject_rbl_client bl.spamcop.net, reject_rbl_client sbl.spamhaus.org,

smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining

smtpd_helo_required = yes

smtpd_helo_restrictions = permission_mynetworks, permission_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname

smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/sender_access, allow_mynetworks, allow_sasl_authenticated, disable_unauth_destination, check_policy_service inet: 127.0.0.1: 10023

smtpd_sasl_auth_enable = yes

smtpd_sasl_local_domain =

smtpd_sasl_path = prywatna/autoryzacja

smtpd_sasl_security_options = noanonymous

smtpd_sasl_type = Gołębnik

smtpd_sender_restrictions = hash:/etc/postfix/sender_access, check_sender_access hash:/etc/postfix/sender_access, allow_mynetworks, disable_sender_login_mismatch, disable_unknown_sender_domain, disable_non_fqdnicated_sender_sender

smtpd_tls_cert_file =/etc/ssl/certs/ssl-cert-snakeoil.pem

smtpd_tls_key_file =/etc/ssl/private/ssl-cert-snakeoil.key

smtpd_tls_session_cache_database = btree: $ {data_dir}/smtpd_scache

smtpd_use_tls = yes

virtual_alias_maps = LDAP:/etc/postfix/ldap-alias-maps.cf

virtual_gid_maps = statyczny: 5000

virtual_mailbox_base =/

virtual_mailbox_domains = mydomain.com

virtual_mailbox_maps = LDAP:/etc/postfix/ldap-mailbox-maps.cf

virtual_minimum_uid = 100

virtual_uid_maps = statyczny: 5000
Potrzebuję pomocy, aby zatrzymać ten spam
sample/var/log/mail.log 
Jan 29 16:33:22 mail postfix/pickup[1960]: 312676037EE39: uid=33 from=<www-data>

Jan 29 16:33:22 mail postfix/cleanup[64497]: 312676037EE39: message-id=<20170129203322.312676037EE39@mail.mydomain.com>

Jan 29 16:33:22 mail postfix/qmgr[60188]: 312676037EE39: from=<www-data@mail.mydomain.com>, size=783, nrcpt=1 (queue active)

Jan 29 16:33:22 mail dovecot: imap-login: Login: user=<validuser>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=2213, secured, session=<MjoQnEFH3AB/AAAB>

Jan 29 16:33:22 mail dovecot: imap(validuser): Disconnected: Logged out in=93 out=837

Jan 29 16:33:22 mail postfix/pickup[1960]: 4DBEB6037EE3A: uid=33 from=<www-data>

Jan 29 16:33:22 mail postfix/cleanup[61997]: 4DBEB6037EE3A: message-id=<20170129203322.4DBEB6037EE3A@mail.mydomain.com>

Jan 29 16:33:22 mail postfix/qmgr[60188]: 4DBEB6037EE3A: from=<www-data@mail.mydomain.com>, size=844, nrcpt=1 (queue active)

Używam Debiana 7, zainstalowałem maldet, uruchom polecenie

maldet -m/usr/local/

i zwraca: 
Linux Malware Detect v1.5

                        (C) 2002-2016, R-fx Networks <proj@rfxn.com>

                        (C) 2016, Ryan MacDonald <ryan@rfxn.com>

This program may be freely redistributed under the terms of the GNU GPL v2maldet(13019): {mon} existing inotify process detected (try -k): 53745

Ale nie wiem, jak wykorzystać te informacje do wykrycia złośliwego skryptu.
2021-03-02 Dodaj komentarz
Udostępnij to

Nie znaleziono powiązanych wyników

    Zaproszony:
    Anonimowy użytkownik

    Anonimowy użytkownik

    Potwierdzenie od:

    Cóż, jeśli dane www wysyłają SPAM, oznacza to, że Twój serwer WWW został przejęty.
    Powinieneś natychmiast zatrzymać serwer WWW i sprawdzić go pod kątem niechcianych skryptów i backdoorów używanych do wysyłania SPAMU.
    Możesz użyć maldetu (

    https://www.rfxn.com/projects/ ... tect/
    https://www.rfxn.com/projects/linux-malware-detect/), aby znaleźć podejrzane pliki.
    Lub użyj tego podejścia:

    https://blog.rimuhosting.com/2 ... rver/
    https://blog.rimuhosting.com/2 ... rver/
    Jeśli chcesz naprawdę zaoszczędzić pieniądze, sprawdź swoją bazę danych lub przeprowadź nową instalację.
    2021-03-02 0 0
    Udostępnij to
    Anonimowy użytkownik

    Anonimowy użytkownik

    Potwierdzenie od:

    Znalazłem rozwiązanie
    Pierwszy duży krok w kierunku ostatecznego rozwiązania nastąpił, gdy usługa apache2 została zatrzymana, a wysyłanie wiadomości spamowych również zostało zatrzymane, to znaczy wiadomości e-mail były wysyłane ze skryptu php.
    Następnym krokiem było dodanie następujących linii do php.ini 
    mail.add_x_header = On
    
mail.log =/var/log/phpmail.log

    Ta strona pomoże mi:

    https://blog.rimuhosting.com/2 ... rver/
    https://blog.rimuhosting.com/2 ... rver/
    Przypisz var/log/phpmail.log do użytkownika i grupy www-data 
    chgrp -R www-data/var/log/phpmail.log
    
chown -R www-data/var/log/phpmail.log

    Po ponownym uruchomieniu usługi Apache2 spam wrócił, ale tym razem został zarejestrowany w pliku/var/log/phpmail.log
    Zatrzymaj usługę apache2 i znajdź skrypty spamowe w/var/log/phpmail.log, były to pliki php, które zostały oznaczone jako php. Podejrzane w folderze wordpress na serwerze Apache (/ var/www/). Usuń wszystkie te pliki, a ponieważ nie korzystałem z tego folderu wordpress, nadałem mu 440 uprawnienia tylko do odczytu.
    Zrestartuj usługę apache2, a spam całkowicie zniknie.
    2021-03-02 0 0
    Udostępnij to
    Dlaczego jest złożony? 0 odpowiedzi zostało zwiniętych

    Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się

    Polityka prywatności: https://zweryfikowac.pl/Polityka-prywatnosci.pdf
    Copyright © 2023, All Rights Reserved