К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

EXIM, взломали ящик и шлют спам...

0 - 05.03.2014 - 09:35
Добрый день всем, кто может подсказать как найти в логах EXIM с кокого ящика идёт рассылка спама?
по команде:exim -bpc
1003
Очередь в 1000 писем
по команде: tail -n 100000 /var/log/exim/exim_main.log
Куча всяких адресов назначения, но вот как узнать отправителя?



Гость
1 - 05.03.2014 - 18:27
mailq
или
grep "<=" main.log | grep 192.168.X или что у вас там внутре
Гость
2 - 05.03.2014 - 19:27
а мож все таки опен релей?
3 - 06.03.2014 - 09:11
Цитата:
Сообщение от alexwww Посмотреть сообщение
mailq или grep "&lt;=" main.log | grep 192.168.X или что у вас там внутре
tail -n 100000 /var/log/exim/exim_main.log |grep "<=" main.log | grep "IP всей подсети? или только локальный IP почтового сервера?"
4 - 06.03.2014 - 10:16
3-Висуалий > посмотрите каталог msglog,
в centos это /var/spool/exim/msglog,
у вас может быть немного по-другому.
Там будут фалы, содержащие куски лога, относящиеся к каждому конкретному сообщению в очереди.
В самой первой строчке будет recieved from <адрес отправителя> H=(имя компа) [ip-адрес откуда отправлено]
5 - 06.03.2014 - 13:26
2014-03-06 13:53:00 Received from info@imf.net H=(User) [84.79.192.133]:1989 I=[172.23.254.2]:25 P=esmtpa A=fixed_login:test S=4774 T="INTERNATIONAL MONETARY FUND (IMF)"
Кто то логинится под "Test" ?
6 - 06.03.2014 - 13:38
84.79.192.133 добавил в блэклист экзима с маской /24

info@imf.net добавил в блэклист экзима

Мне бы понять где дырка в этом Б;"№%:;" почтовике...
Если залогинились под username=test, то это более чем странно, нет у меня такого юзера в почтовике.
7 - 06.03.2014 - 13:39
И вообще, спасибо всем отписавшим! БОЛЬШОЕ
8 - 06.03.2014 - 16:49
Ну все показывает на то, что все-таки он есть.
В самой ОС нет такого пользователя?
Вам есть необходимость отправлять через свой SMTP почту извне - ну там мобильные пользователи и т.п.?
Если нет - то можно в правило, где
accept authenticated = *
добавить строчку типа
hosts = 192.168.X.X/XX
9 - 07.03.2014 - 08:42
alexm13,это оно?

Спаибо за помощь, начал немного ориентироваться в EXIMe
10 - 07.03.2014 - 11:20
9-Висуалий > да оно, но не факт, что дальше по конфигу не будет "открытых" мест.
Там есть раздел authenticators - в нем, возможно, включена авторизация по системным пользователям.
А в системе, может быть, есть тот самый test
А вообще тут http://www.lissyara.su/articles/free...+postfixadmin/ весь конфиг разжеван на русском.


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены