The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"контроль sendnmail"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"контроль sendnmail"
Сообщение от gray1 Искать по авторуВ закладки on 21-Дек-03, 14:02  (MSK)
Привет, всем! Имеется сервер на FreeBSD на котором:
-DNS
-Sendmail
-WWW
-и еще по мелочи всего

Недавно появилась серьезная проблема – чудовищно вырос трафик с этого сервера (4гига – входящий, 6 гигов исходящий В ДЕНЬ!!!, это против 100-150 мегов раньше) Естественно у меня появилось подозрение, что через мой сервер производят спамерские рассылки… Но файле access по моему все в порядке:

bash-2.04# cat access
# $FreeBSD: src/etc/mail/access.sample,v 1.1.2.2 2000/11/03 07:23:50 dirk Exp $
# Mail relay access control list.  Default is to reject mail unless the
# destination is local, or listed in /etc/mail/local-host-names
#cyberspammer.com               550 We don't accept mail from spammers
#FREE.STEALTH.MAILER@           550 We don't accept mail from spammers
#another.source.of.spam         REJECT
#okay.cyberspammer.com          OK
#128.32                         RELAY
mail.мойдомен.ру                    RELAY
192.168.10                         RELAY
(это внутренняя сеть)
#192.168.1                       RELAY
webadmin@favourite.ru           REJECT
root@мойдомен.ру                   REJECT

81.223.248                      RELAY
(это моя подсеть к которой находятся наши клиенты и мы)


В файле aliases тоже по моему все в норме…
Если это спам, то непонятно от кого он приходит, наши клиенты по выделенке солидные люди и наврятли занимаются этим, а модемные клиенты просто физически не способны на такой трафик. Как определить от куда идут письма? Или может быть их рассылает какойнить скрипт на серваке (неизвестно, что там оставили старые админы). Подскажите пожалуста, как локализовать проблему и разрешиеть ее!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "контроль sendnmail"
Сообщение от nubi Искать по авторуВ закладки on 21-Дек-03, 16:53  (MSK)
>Привет, всем! Имеется сервер на FreeBSD на котором:
>-DNS
>-Sendmail
>-WWW
>-и еще по мелочи всего
>
>Недавно появилась серьезная проблема ? чудовищно вырос трафик с этого сервера (4гига
>? входящий, 6 гигов исходящий В ДЕНЬ!!!, это против 100-150 мегов
>раньше) Естественно у меня появилось подозрение, что через мой сервер производят
>спамерские рассылки? Но файле access по моему все в порядке:
>
>bash-2.04# cat access
># $FreeBSD: src/etc/mail/access.sample,v 1.1.2.2 2000/11/03 07:23:50 dirk Exp $
># Mail relay access control list.  Default is to reject mail
>unless the
># destination is local, or listed in /etc/mail/local-host-names
>#cyberspammer.com            
>   550 We don't accept mail from spammers
>#FREE.STEALTH.MAILER@           550
>We don't accept mail from spammers
>#another.source.of.spam         REJECT
>#okay.cyberspammer.com          OK
>#128.32            
>          
>  RELAY
>mail.мойдомен.ру            
>        RELAY
>192.168.10            
>          
>  RELAY
>(это внутренняя сеть)
>#192.168.1            
>          
>RELAY
>webadmin@favourite.ru           REJECT
>
>root@мойдомен.ру            
>       REJECT
>
>81.223.248            
>          RELAY
>
>(это моя подсеть к которой находятся наши клиенты и мы)
>
>
>В файле aliases тоже по моему все в норме?
>Если это спам, то непонятно от кого он приходит, наши клиенты по
>выделенке солидные люди и наврятли занимаются этим, а модемные клиенты просто
>физически не способны на такой трафик. Как определить от куда идут
>письма? Или может быть их рассылает какойнить скрипт на серваке (неизвестно,
>что там оставили старые админы). Подскажите пожалуста, как локализовать проблему и
>разрешиеть ее!


как считал траффик?

поди у теб socks или suid открытый..

логи почитай сквида, maillog, httpd.
пропустил что-то , товаришь

что там у теб >-и еще по мелочи всего?
может httpd  в режиме прокси?

81.223.248 relay

а еот это плохо совсем.
админ, который придет после теб поест проблем.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "контроль sendnmail"
Сообщение от gray1 Искать по авторуВ закладки on 22-Дек-03, 22:26  (MSK)
>>Привет, всем! Имеется сервер на FreeBSD на котором:
>>-DNS
>>-Sendmail
>>-WWW
>>-и еще по мелочи всего
>>
>>Недавно появилась серьезная проблема ? чудовищно вырос трафик с этого сервера (4гига
>>? входящий, 6 гигов исходящий В ДЕНЬ!!!, это против 100-150 мегов
>>раньше) Естественно у меня появилось подозрение, что через мой сервер производят
>>спамерские рассылки? Но файле access по моему все в порядке:
>>
>>bash-2.04# cat access
>># $FreeBSD: src/etc/mail/access.sample,v 1.1.2.2 2000/11/03 07:23:50 dirk Exp $
>># Mail relay access control list.  Default is to reject mail
>>unless the
>># destination is local, or listed in /etc/mail/local-host-names
>>#cyberspammer.com            
>>   550 We don't accept mail from spammers
>>#FREE.STEALTH.MAILER@           550
>>We don't accept mail from spammers
>>#another.source.of.spam         REJECT
>>#okay.cyberspammer.com          OK
>>#128.32            
>>          
>>  RELAY
>>mail.мойдомен.ру            
>>        RELAY
>>192.168.10            
>>          
>>  RELAY
>>(это внутренняя сеть)
>>#192.168.1            
>>          
>>RELAY
>>webadmin@favourite.ru           REJECT
>>
>>root@мойдомен.ру            
>>       REJECT
>>
>>81.223.248            
>>          RELAY
>>
>>(это моя подсеть к которой находятся наши клиенты и мы)
>>
>>
>>В файле aliases тоже по моему все в норме?
>>Если это спам, то непонятно от кого он приходит, наши клиенты по
>>выделенке солидные люди и наврятли занимаются этим, а модемные клиенты просто
>>физически не способны на такой трафик. Как определить от куда идут
>>письма? Или может быть их рассылает какойнить скрипт на серваке (неизвестно,
>>что там оставили старые админы). Подскажите пожалуста, как локализовать проблему и
>>разрешиеть ее!
>
>
>как считал траффик?
Значит, свою считалку я пока не поставил. А трафик считает мой провайдер, от него и беру данные.
>поди у теб socks или suid открытый..
Сквид вроде закрыт.. (в rc.firewall правила для него закоментирываны)
Как правильно посмотреть открыты они или нет?
>логи почитай сквида, maillog, httpd.
логов сквида не нашел, маиллог смотрел - мало что понял ;) много там всего
(подскажите на что внимание обращать следует)
httpd-access.log посмотрел, вроде все нормально, куда не надо никто не лазил, тока в пределах моего сайта.
>пропустил что-то , товаришь
>
>что там у теб >-и еще по мелочи всего?
еще
samba
mysql
tacac
>может httpd  в режиме прокси?
хм а как проверить?
>
>81.223.248 relay
>
>а еот это плохо совсем.
>админ, который придет после теб поест проблем.
это я уже убрал :)
прописал тока нужные ип

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "контроль sendnmail"
Сообщение от nubi Искать по авторуВ закладки on 22-Дек-03, 23:10  (MSK)

>>как считал траффик?
>Значит, свою считалку я пока не поставил. А трафик считает мой провайдер,
>от него и беру данные.
>>поди у теб socks или suid открытый..
>Сквид вроде закрыт.. (в rc.firewall правила для него закоментирываны)
>Как правильно посмотреть открыты они или нет?

Все-таки рекомендую внимательно почитать конфиг сквида ( оно потом пригодится все равно.. Вдруг у тебя юсеры начнут кино качать:))

проверялок на открытость прокси много:
http://www.google.com/search?q=open+proxy+check&sourceid=opera&num=0&ie=utf-8&oe=utf-8

например зайди со сквида http://www.richard.zonnet.nl/cgi-bin/nph-proxycheck

Таким же примерно образом проверить можно и апач

(может стоит открытый socks proxy?)

Если есть время/желание разобраться глубже - почитай про метод
CONNECT. через прокси, поддерживающего CONNECT можно работать с любыми службами по протоколу tcp - в частности рассылать почту. squid CONNECT ессно, поддерживает, и если у тебя нет сообветствующих ACL в конфиге сквида (файролла часто недостаточно!!) вполне возможно что через тебя спамят (проверяй себя на dnsbl.org и т.д.). Это , кстати чревато попаданием в блок-лист (spews.org например) с невозможностью в дальнейшем отсылать нормальную почту некоторым адресатам. (будут приходить отлупы, дескать не принимаем почту от спаммеров)

99% что ты уже в блок-листе.. Если этот траффик - спам, конечно.

>>логи почитай сквида, maillog, httpd.
>логов сквида не нашел, маиллог смотрел - мало что понял ;) много
>там всего
>(подскажите на что внимание обращать следует)

обратить внимание на ненормальную активность (слишком много писем, почтовую очередь и т.п.)
сравнивай с логами за период, когда траффик был в норме.

>httpd-access.log посмотрел, вроде все нормально, куда не надо никто не лазил, тока
>в пределах моего сайта.

тема необьятная.. Уверен, что у тебя на сайте нет cgi приложений , допускающих отправку почты через форму без надлежаших проверок, например?
по поводу апача как прокси - читай про apache модуль mod_proxy.


>>пропустил что-то , товаришь
>>
>>что там у теб >-и еще по мелочи всего?
>еще
>samba
>mysql
>tacac

ну, прочитать про уязвимости в samba как минимум, убедиться, что коннект к ним возможен только из доверенной сети и оббновить софт до последней стабильной версии. (не забыть, что вредитель может находиться и в доверенной сети)

при настройке сетевых сервисов надо исходить что враги буквально все.

>>может httpd  в режиме прокси?
>хм а как проверить?
>>
>>81.223.248 relay
>>
>>а еот это плохо совсем.
>>админ, который придет после теб поест проблем.
>это я уже убрал :)
>прописал тока нужные ип

Вообще же причин/лазеек может быть и более одной, так что нужно очень внимательно все изучить и не успокаиваться.. Статей по сетевой безопасности много, поищи, почитай.. Я бы рекомендовал найти для консультации специалиста, который посмотрел бы вашу сеть живьем, т.к. ситуация мягко говоря.. требует немедленного вмешательства.

можно обратиться к провайдеру, т.к. он весьма заинтересован в решении вопроса.

я бы рекомендовал озаботиться сквидом в первую очередь, наиболее вероятная дырка в твоем случае имхо. (меня смутило "Сквид вроде закрыт.. (в rc.firewall правила для него закоментирываны)" Т.е. никаких ограничений на коннект к сквиду сейчас нет?)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "контроль sendnmail"
Сообщение от Nightman emailИскать по авторуВ закладки on 23-Дек-03, 06:33  (MSK)
Согласен с предыдущим оратором.
Проще подампить трафик на интерфейсах.
Весьма возможно что дело и не в серваке а во внутренней сетке(поставили "осла" и наслаждаются фильмами)
В любом случае дамп трафика позволит выявит кто куда ходит и зачем.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру