Exim4 и Спам!

DizeL · 17 ноября 2015, 18:50:53

Приветствую всех уважаемых Гуру!

Подскажите, на сервере стоит Debian 7.8 + Apache2 с виртуальными www хостами + Exim 4.80
Последнее время стали приходит "абузы" на спам с сервера. Есть подозрение, что сломали один из сайтов на виртуальных хостах.

Что делал:

Цитировать# sendmail
Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,
not directly from a shell command line. Options and/or arguments control
what it does when called. For a list of options, see the Exim documentation.

Выключаю exim:

Цитировать/etc/init.d/exim4 stop

Тестирую отправку почты:

Цитироватьecho "This is a test." | mail -s Testing ddddl@ddd.com

Почта приходит получателю!!!

Запуск тестовой страницы.php с отправкой почты через Mail() также проходит успешно!

Где "копать" ?

ihammers · 18 ноября 2015, 03:28:12

Смотрите логи виртуальных хостов, логи exim4 и другие сопутствующие логи. Последнее время не обновляли систему, если да, то проверьте какие пакеты были обновлены.

endru · 18 ноября 2015, 06:18:43

я бы сначала посмотрел пакеты которые установлены:

Код Выделить

dpkg -l | grep mail

DizeL · 18 ноября 2015, 10:34:23

Цитата: ihammers от 18 ноября 2015, 03:28:12е логи виртуальных хостов, логи exim4 и другие сопутствующие логи. Последнее время не обновляли систему, если да, то проверьте какие пакеты были обновлены.

Систему не обновлял, обновил только пакет Webmin и то после "абузы"

Цитата: endru от 18 ноября 2015, 06:18:43
я бы сначала посмотрел пакеты которые установлены:
Код Выделить Развернуть
dpkg -l | grep mail

Ответ dpkg -l | grep mail :

Цитировать
ii bsd-mailx 8.1.2-0.20111106cvs-1+deb7u1 i386 simple mail user agent
ii libmailtools-perl 2.09-1 all Manipulate email in perl programs
ii mime-support 3.52-1+deb7u1 all MIME files 'mime.types' & 'mailcap', and support programs
ii mutt 1.5.21-6.2+deb7u3 i386 text-based mailreader supporting MIME, GPG, PGP and threading
ii php-mail 1.2.0-4 all PHP PEAR module for sending email
ii php-mail-mime 1.8.4-1 all PHP PEAR module for creating MIME messages
ii php-mail-mimedecode 1.5.5-1 all PHP PEAR module to decode MIME messages
ii procmail 3.22-20+deb7u1 i386 Versatile e-mail processor
ii xfce4-mailwatch-plugin 1.1.0-5+b1 i386 mail watcher plugin for the Xfce4 panel

Почту отправляет Exim или что-то его подставляет потому, как в кодовых строках писем есть строка

ЦитироватьReceived: from www-data by debian-www with local (Exim 4.80)

endru · 18 ноября 2015, 13:40:05

ты говоришь отправляется почта даже когда exim остановлен? останавливай еще раз и показывай.

Код Выделить

netstat -nl

DizeL · 18 ноября 2015, 14:07:56

Цитата: endru от 18 ноября 2015, 13:40:05netstat -nl

ЦитироватьActive Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:10001 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1223 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:53383 0.0.0.0:* LISTEN
tcp6 0 0 :::111 :::* LISTEN
tcp6 0 0 :::80 :::* LISTEN
tcp6 0 0 :::35430 :::* LISTEN
tcp6 0 0 :::1223 :::* LISTEN
udp 0 0 0.0.0.0:10001 0.0.0.0:*
udp 0 0 127.0.0.1:11211 0.0.0.0:*
udp 0 0 0.0.0.0:32293 0.0.0.0:*
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 0.0.0.0:618 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 192.168.56.102:123 0.0.0.0:*
udp 0 0 XXX.XX.XX.XXX:XXX 0.0.0.0:* - не показываю!
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp 0 0 127.0.0.1:682 0.0.0.0:*
udp 0 0 0.0.0.0:30922 0.0.0.0:*
udp6 0 0 :::54048 :::*
udp6 0 0 :::618 :::*
udp6 0 0 :::111 :::*
udp6 0 0 ::1:123 :::*
udp6 0 0 xxxx::xxx:xxxx:xxxx:xxx :::* - не показываю!
udp6 0 0 xxxx::xxx:xxxx:xxxx:xxx :::* - не показываю!
udp6 0 0 :::123 :::*
udp6 0 0 :::36578 :::*
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 5632 @/tmp/.X11-unix/X0
unix 2 [ ACC ] SEQPACKET LISTENING 3192 /run/udev/control
unix 2 [ ACC ] STREAM LISTENING 6532 /var/run/mysqld/mysqld.sock
unix 2 [ ACC ] STREAM LISTENING 5528 /var/run/acpid.socket
unix 2 [ ACC ] STREAM LISTENING 5633 /tmp/.X11-unix/X0
unix 2 [ ACC ] STREAM LISTENING 5548 /var/run/dbus/system_bus_socket
unix 2 [ ACC ] STREAM LISTENING 5068 /var/run/rpcbind.sock
unix 2 [ ACC ] STREAM LISTENING 5589 /var/run/gdm_socket
unix 2 [ ACC ] STREAM LISTENING 6114 /dev/printer

yoric · 18 ноября 2015, 14:32:05

Всё правильно, "mail" запускает exim (как sendmail) единовременно с диска, ей не нужен 25-й (или т.п.) порт. Иначе надо конфигурить. Но там вешалка... Посмотрите /var/log/exim/*. А вот приёма почты ( да и то с оговорками) не будет, или там переадресации/отфутболивания.

DizeL · 18 ноября 2015, 15:02:42

Цитата: yoric от 18 ноября 2015, 14:32:05
Всё правильно, "mail" запускает exim (как sendmail) единовременно с диска, ей не нужен 25-й (или т.п.) порт. Иначе надо конфигурить. Но там вешалка... Посмотрите /var/log/exim/*. А вот приёма почты ( да и то с оговорками) не будет, или там переадресации/отфутболивания.

По /var/log/exim4/mainlog видно, что почта идет от него (Exim)

Только как почта может отправляться если:

# service exim4 status

Цитировать
[ ok ] checking separate queue runner daemon...done (not running).
[FAIL] checking combined SMTP listener and queue runner daemon...failed (combined SMTP listener and queue runner daemon failed).

и
# service exim4 stop

Цитировать
[....] Stopping MTA:/sbin/start-stop-daemon: warning: failed to kill 24947: No such process
[ ok 4_listener.

yoric · 18 ноября 2015, 16:08:39

А так, что mail вызывает sendmail (что есть ссылка на exim) с соответствующими ключами в комстроке, для разовой отправки. info mail. Вот удалите временно `which exim`, тогда не будет работать.

DizeL · 19 ноября 2015, 10:10:16

Спасибо,

Вопрос: почта с вир. сайтов отправляется по php mail() (pop и smtp отключен).

Как можно обезопасить от исходящего спама в случае взлома сайтов?