Здравствуйте.
Есть выделенный сервер с Дебиан. Стоит только LAMP для одного сайта, больше ничего.
Некоторое время назад провайдер стал присылать предупреждения, что от SORB (http://www.sorbs.net) к нему приходят жалобы, будто бы с IP нашего сервера идет спам. После отключения всех MTA и php mail() жалобы продолжаются. Провайдер прислал даже от SORB хидеры двух спамных писем, якобы вышедших с нашего IP.
Вопросы: как отследить, кто и как с нашего сервера спамит?
Второе: не может ли кто-то SORB обманывать.
Отлавливание исходящей почты (Идет спам с сервера)
Модератор: SLEDopit
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Отлавливание исходящей почты
Чтобы слать почту, MTA или php mail() не обязательны. Можно воспользоваться mailx, который может запускаться и phpшным скриптом, и локальным юзером, у которого украли/подобрали пароль. Так что ищите посторонние скрипты и в docroot, и в хомяках пользователей.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Отлавливание исходящей почты
ruslan13 писал(а): ↑06.11.2016 15:02Здравствуйте.
Есть выделенный сервер с Дебиан. Стоит только LAMP для одного сайта, больше ничего.
Некоторое время назад провайдер стал присылать предупреждения, что от SORB (http://www.sorbs.net) к нему приходят жалобы, будто бы с IP нашего сервера идет спам. После отключения всех MTA и php mail() жалобы продолжаются. Провайдер прислал даже от SORB хидеры двух спамных писем, якобы вышедших с нашего IP.
Вопросы: как отследить, кто и как с нашего сервера спамит?
А послушать порты исходящие и записать/проанализировать логи исходящего трафика пытались?
Посмотреть кто открывает исходящий порт и шлёт SMTP пытались?
Re: Отлавливание исходящей почты
Вообще-то Вы тему создали с Вашим вопросом не в разделе "Вопрос новичка", а в разделе "Администрирование".
В целом, в мире среди ИТ-специалистов так принято, что системный администратор должен уметь пользоваться интернетом и поисковиками.
Вот и выглядело так, что Вам нужен совет в какую сторону смотреть.
Вам такой ответ и дали: смотреть в сторону проверки исходящего трафика в интересующем Вас разрезе.
Вы хотя бы поиском по этому форуму пытались воспользоваться?
Вы ведь не думаете, что Вы первый в интернете человек, которому понадобилось трафик слушать и анализировать.
Анализ трафика
монитор подключений
Как подсмотреть обмен между устройствами?
tcpdump - анализ трафика
Чего качается....
Решено: Как узнать что качает программа
Полное прослушивание трафика
Сниффер
Консольный аналог Wireshark. отслеживание приходящих на интерфейс пакетов через консоль?
Как выявить какая программа ест трафик?
Большой исходящий трафик
Машина посылает в мир большой траффик
и другие.
Если написанное Вам непонятно от слова совсем и это не Ваша область, то просто передайте эту информацию системному администратору, он знает что с этим делать.
Re: Отлавливание исходящей почты
Goodvin
Я почитал о различиях форумов "Администрирование" и "Вопрос новичка" и решил, что это все-таки сюда. Извиняюсь, если ошибся.
Ознакомившись с данными Вами ссылками, вижу, что кроме снифферов и ручного анализа вариантов нет. Довольно неудобно, если спамят понемногу раз в несколько дней. Мне проще закрыть исходящие соединения, они не особо нужны.
Спасибо.
Я почитал о различиях форумов "Администрирование" и "Вопрос новичка" и решил, что это все-таки сюда. Извиняюсь, если ошибся.
Ознакомившись с данными Вами ссылками, вижу, что кроме снифферов и ручного анализа вариантов нет. Довольно неудобно, если спамят понемногу раз в несколько дней. Мне проще закрыть исходящие соединения, они не особо нужны.
Спасибо.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Отлавливание исходящей почты
Не обращайте внимания, Goodvin всегда так разговаривает. Правильно всё с форумом.
Кроме снифферов варианты есть, но ручным анализом в любом случае придётся заняться. Если не выяснить, кто и как проник в систему, Вам останется только ждать, пока не сделают ещё большую гадость (которая может привести к отказу хостера сотрудничать с Вами и внесению Вашего сайта во всевозможные блеклисты, начиная с браузерных — в случае распространения троянов — и заканчивая непотребнадзоровским — в случае распространения запрещённой информации).
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Отлавливание исходящей почты
Дело же не в извинениях, речь не об этом.
Сама тема вопроса как раз подходит под "Администрирование", но и ответ на него здесь скорее всего дадут в расчёте на системного администратора на той стороне.
Ведь совсем неочевидно, что автор вопроса в "Администрировании" не знает чем и как "слушать" и анализировать трафик и даже не найдет это поиском по десяткам обсужденных аналогичных тем.
Варианты есть.
Но в любом случае от того, кто их будет применять, потребуется понимание увиденного в трафике.
Чудодейственной панацеи, которая автоматически сама всё найдет и исправит, увы, нет.
В любом случае потребуется понимание сетевых протоколов, понимание работы процессов в системе, понимание методов прекращения нелегитимной активности.
Иначе, как сказали выше, ситуация всё равно остаётся опасной и чреватой непредсказуемыми последствиями.
Сегодня зловред спам рассылает, а завтра может стать частью ботнета в DDoS-атаке или чего похуже.
И владелец взломанного сервере в лучшем случае получит финансовый ущерб, а в худшем может стать соучастником чего-то противоправного.
Re: Отлавливание исходящей почты
Goodvin
Вообще-то я в IT больше 20 лет, хотя и в сторону разработки ПО, но и администрированием Unix систем слегка занимался, и не вижу ничего предосудительного в том, что человек, столкнувшийся с моей проблемой, заходит сюда или на Windows форум и спрашивает - какой сетевой анализатор лучше, какой имеет возможность отлавливать и показывать в удобоваримом виде SMTP траффик. Никакой высокоуровневый сисадмин не знает всего, что существует в природе для удобства его работы, и может озадачиться таким вопросом с желанием получить обоснованные практическим использованием ответы.
Bizdelnick
Спасибо. Пока просто закрыл исходящие соединения, если повторится - переставлю систему, это менее затратно по времени. Если опять повториться, буду уже искать дыры в софте (Joomla).
Вообще-то я в IT больше 20 лет, хотя и в сторону разработки ПО, но и администрированием Unix систем слегка занимался, и не вижу ничего предосудительного в том, что человек, столкнувшийся с моей проблемой, заходит сюда или на Windows форум и спрашивает - какой сетевой анализатор лучше, какой имеет возможность отлавливать и показывать в удобоваримом виде SMTP траффик. Никакой высокоуровневый сисадмин не знает всего, что существует в природе для удобства его работы, и может озадачиться таким вопросом с желанием получить обоснованные практическим использованием ответы.
Bizdelnick
Спасибо. Пока просто закрыл исходящие соединения, если повторится - переставлю систему, это менее затратно по времени. Если опять повториться, буду уже искать дыры в софте (Joomla).
Re: Отлавливание исходящей почты
ruslan13 писал(а): ↑16.11.2016 06:30Goodvin
Вообще-то я в IT больше 20 лет, хотя и в сторону разработки ПО, но и администрированием Unix систем слегка занимался, и не вижу ничего предосудительного в том, что человек, столкнувшийся с моей проблемой, заходит сюда или на Windows форум и спрашивает - какой сетевой анализатор лучше, какой имеет возможность отлавливать и показывать в удобоваримом виде SMTP траффик. Никакой высокоуровневый сисадмин не знает всего, что существует в природе для удобства его работы, и может озадачиться таким вопросом с желанием получить обоснованные практическим использованием ответы.
Написанное мной - оно не с целью Вас в чем-то убедить.
Просто прочтите текст под красной ссылкой в моей подписи.
Там немного, но очень полезно.