Exim4 и Спам!

[DizeL]

Приветствую всех уважаемых Гуру!

Подскажите, на сервере стоит Debian 7.8 + Apache2 с виртуальными www хостами + Exim 4.80
Последнее время стали приходит "абузы"  на спам с сервера. Есть подозрение, что сломали один из сайтов на виртуальных хостах.

Что делал:

# sendmail
Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,
not directly from a shell command line. Options and/or arguments control
what it does when called. For a list of options, see the Exim documentation.

Выключаю exim: 

/etc/init.d/exim4 stop

Тестирую отправку почты:

echo "This is a test." | mail -s Testing ddddl@ddd.com

Почта приходит получателю!!!

Запуск тестовой страницы.php с отправкой почты через Mail() также проходит успешно!

Где "копать" ?

[ihammers]

Смотрите логи виртуальных хостов, логи exim4 и другие сопутствующие логи. Последнее время не обновляли систему, если да, то проверьте какие пакеты были обновлены.

[endru]

я бы сначала посмотрел пакеты которые установлены:

Код: [Выделить]

dpkg -l | grep mail

[DizeL]

е логи виртуальных хостов, логи exim4 и другие сопутствующие логи. Последнее время не обновляли систему, если да, то проверьте какие пакеты были обновлены.

Систему не обновлял, обновил только пакет Webmin и то после "абузы"

я бы сначала посмотрел пакеты которые установлены:

Код: [Выделить]

dpkg -l | grep mail

Ответ dpkg -l | grep mail :

ii  bsd-mailx                           8.1.2-0.20111106cvs-1+deb7u1       i386         simple mail user agent
ii  libmailtools-perl                   2.09-1                                            all            Manipulate email in perl programs
ii  mime-support                     3.52-1+deb7u1                               all            MIME files 'mime.types' & 'mailcap', and support programs
ii  mutt                                  1.5.21-6.2+deb7u3                          i386         text-based mailreader supporting MIME, GPG, PGP and threading
ii  php-mail                             1.2.0-4                                           all            PHP PEAR module for sending email
ii  php-mail-mime                    1.8.4-1                                           all            PHP PEAR module for creating MIME messages
ii  php-mail-mimedecode          1.5.5-1                                          all             PHP PEAR module to decode MIME messages
ii  procmail                             3.22-20+deb7u1                             i386         Versatile e-mail processor
ii  xfce4-mailwatch-plugin        1.1.0-5+b1                                     i386         mail watcher plugin for the Xfce4 panel

Почту отправляет Exim или что-то его подставляет потому, как в кодовых строках писем есть строка

Received: from www-data by debian-www with local (Exim 4.80)

[endru]

ты говоришь отправляется почта даже когда exim остановлен? останавливай еще раз и показывай.

Код: [Выделить]

netstat -nl

[DizeL]

netstat -nl

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:10001           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:1223            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:53383           0.0.0.0:*               LISTEN
tcp6       0      0 :::111                  :::*                    LISTEN
tcp6       0      0 :::80                   :::*                    LISTEN
tcp6       0      0 :::35430                :::*                    LISTEN
tcp6       0      0 :::1223                 :::*                    LISTEN
udp        0      0 0.0.0.0:10001           0.0.0.0:*
udp        0      0 127.0.0.1:11211         0.0.0.0:*
udp        0      0 0.0.0.0:32293           0.0.0.0:*
udp        0      0 0.0.0.0:68              0.0.0.0:*
udp        0      0 0.0.0.0:618             0.0.0.0:*
udp        0      0 0.0.0.0:111             0.0.0.0:*
udp        0      0 192.168.56.102:123      0.0.0.0:*
udp        0      0 XXX.XX.XX.XXX:XXX       0.0.0.0:* - не показываю!
udp        0      0 127.0.0.1:123           0.0.0.0:*
udp        0      0 0.0.0.0:123             0.0.0.0:*
udp        0      0 127.0.0.1:682           0.0.0.0:*
udp        0      0 0.0.0.0:30922           0.0.0.0:*
udp6       0      0 :::54048                :::*
udp6       0      0 :::618                  :::*
udp6       0      0 :::111                  :::*
udp6       0      0 ::1:123                 :::*
udp6       0      0 xxxx::xxx:xxxx:xxxx:xxx :::*  - не показываю!
udp6       0      0 xxxx::xxx:xxxx:xxxx:xxx :::*  - не показываю!
udp6       0      0 :::123                  :::*
udp6       0      0 :::36578                :::*
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     STREAM     LISTENING     5632     @/tmp/.X11-unix/X0
unix  2      [ ACC ]     SEQPACKET  LISTENING     3192     /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     6532     /var/run/mysqld/mysqld.sock
unix  2      [ ACC ]     STREAM     LISTENING     5528     /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     5633     /tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     5548     /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     5068     /var/run/rpcbind.sock
unix  2      [ ACC ]     STREAM     LISTENING     5589     /var/run/gdm_socket
unix  2      [ ACC ]     STREAM     LISTENING     6114     /dev/printer

[yoric]

Всё правильно, "mail" запускает exim (как sendmail) единовременно с диска, ей не нужен 25-й (или т.п.) порт. Иначе надо конфигурить. Но там вешалка... Посмотрите /var/log/exim/*. А вот приёма почты ( да и то с оговорками) не будет, или там переадресации/отфутболивания.

[DizeL]

Всё правильно, "mail" запускает exim (как sendmail) единовременно с диска, ей не нужен 25-й (или т.п.) порт. Иначе надо конфигурить. Но там вешалка... Посмотрите /var/log/exim/*. А вот приёма почты ( да и то с оговорками) не будет, или там переадресации/отфутболивания.

По /var/log/exim4/mainlog видно, что почта идет от него (Exim)

Только как почта может отправляться если:

# service exim4 status

[ ok ] checking separate queue runner daemon...done (not running).
[FAIL] checking combined SMTP listener and queue runner daemon...failed (combined SMTP listener and queue runner daemon failed).

и
# service exim4 stop

[....] Stopping MTA:/sbin/start-stop-daemon: warning: failed to kill 24947: No such process
[ ok 4_listener.

[yoric]

А так, что mail вызывает sendmail (что есть ссылка на exim) с соответствующими ключами в комстроке, для разовой отправки. info mail. Вот удалите временно `which exim`, тогда не будет работать.

[DizeL]

Спасибо,

Вопрос: почта с вир. сайтов  отправляется по php mail() (pop и smtp отключен).

Как можно обезопасить от исходящего спама в случае взлома сайтов?