Форум на Kuban.ru - EXIM, взломали ящик и шлют спам...

Форум на Kuban.ru (http://forums.kuban.ru/)

- Сети и их администрирование (http://forums.kuban.ru/f1029/)

- - EXIM, взломали ящик и шлют спам... (http://forums.kuban.ru/f1029/exim_vzlomali_yashik_i_shlyut_spam-5471212.html)

VR4	05.03.2014 09:35

EXIM, взломали ящик и шлют спам...

Добрый день всем, кто может подсказать как найти в логах EXIM с кокого ящика идёт рассылка спама?
по команде:exim -bpc
1003
Очередь в 1000 писем
по команде: tail -n 100000 /var/log/exim/exim_main.log
Куча всяких адресов назначения, но вот как узнать отправителя?

alexwww

05.03.2014 18:27

mailq
или
grep "<=" main.log | grep 192.168.X или что у вас там внутре

Gochy

05.03.2014 19:27

а мож все таки опен релей?

VR4	06.03.2014 09:11

[quote=alexwww;34409443] mailq или grep "<=" main.log | grep 192.168.X или что у вас там внутре [/quote]

tail -n 100000 /var/log/exim/exim_main.log |grep "<=" main.log | grep "IP всей подсети? или только локальный IP почтового сервера?"

alexm13

06.03.2014 10:16

3-Висуалий > посмотрите каталог msglog,
в centos это /var/spool/exim/msglog,
у вас может быть немного по-другому.
Там будут фалы, содержащие куски лога, относящиеся к каждому конкретному сообщению в очереди.
В самой первой строчке будет recieved from <адрес отправителя> H=(имя компа) [ip-адрес откуда отправлено]

VR4	06.03.2014 13:26

2014-03-06 13:53:00 Received from [email]info@imf.net[/email] H=(User) [84.79.192.133]:1989 I=[172.23.254.2]:25 P=esmtpa A=fixed_login:test S=4774 T="INTERNATIONAL MONETARY FUND (IMF)"
Кто то логинится под "Test" ?

VR4	06.03.2014 13:38

84.79.192.133 добавил в блэклист экзима с маской /24

[email]info@imf.net[/email] добавил в блэклист экзима

Мне бы понять где дырка в этом Б;"№%:;" почтовике...
Если залогинились под username=test, то это более чем странно, нет у меня такого юзера в почтовике.

VR4	06.03.2014 13:39

И вообще, спасибо всем отписавшим! БОЛЬШОЕ

alexm13

06.03.2014 16:49

Ну все показывает на то, что все-таки он есть.
В самой ОС нет такого пользователя?
Вам есть необходимость отправлять через свой SMTP почту извне - ну там мобильные пользователи и т.п.?
Если нет - то можно в правило, где
accept authenticated = *
добавить строчку типа
hosts = 192.168.X.X/XX

VR4	07.03.2014 08:42

alexm13,это оно?
[URL=http://hostingkartinok.com/show-image.php?id=f708a4e02e577e0e73c989bcb6c82901][IMG]http://s6.hostingkartinok.com/uploads/thumbs/2014/03/f708a4e02e577e0e73c989bcb6c82901.png[/IMG][/URL]
Спаибо за помощь, начал немного ориентироваться в EXIMe

alexm13

07.03.2014 11:20

9-Висуалий > да оно, но не факт, что дальше по конфигу не будет "открытых" мест.
Там есть раздел authenticators - в нем, возможно, включена авторизация по системным пользователям.
А в системе, может быть, есть тот самый test
А вообще тут [url]http://www.lissyara.su/articles/freebsd/mail/exim+dovecot+postfixadmin/[/url] весь конфиг разжеван на русском.

Текущее время: 22:02. Часовой пояс GMT +3.