Отлавливание исходящей почты (Идет спам с сервера)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
ruslan13
Сообщения: 4
ОС: Debian

Отлавливание исходящей почты

Сообщение ruslan13 »

Здравствуйте.
Есть выделенный сервер с Дебиан. Стоит только LAMP для одного сайта, больше ничего.
Некоторое время назад провайдер стал присылать предупреждения, что от SORB (http://www.sorbs.net) к нему приходят жалобы, будто бы с IP нашего сервера идет спам. После отключения всех MTA и php mail() жалобы продолжаются. Провайдер прислал даже от SORB хидеры двух спамных писем, якобы вышедших с нашего IP.
Вопросы: как отследить, кто и как с нашего сервера спамит?
Второе: не может ли кто-то SORB обманывать.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Отлавливание исходящей почты

Сообщение Bizdelnick »

Чтобы слать почту, MTA или php mail() не обязательны. Можно воспользоваться mailx, который может запускаться и phpшным скриптом, и локальным юзером, у которого украли/подобрали пароль. Так что ищите посторонние скрипты и в docroot, и в хомяках пользователей.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Goodvin
Ведущий рубрики
Сообщения: 4333
Статус: ⚝⚠⚒⚑⚖☭☞☣☤&

Re: Отлавливание исходящей почты

Сообщение Goodvin »

ruslan13 писал(а):
06.11.2016 15:02
Здравствуйте.
Есть выделенный сервер с Дебиан. Стоит только LAMP для одного сайта, больше ничего.
Некоторое время назад провайдер стал присылать предупреждения, что от SORB (http://www.sorbs.net) к нему приходят жалобы, будто бы с IP нашего сервера идет спам. После отключения всех MTA и php mail() жалобы продолжаются. Провайдер прислал даже от SORB хидеры двух спамных писем, якобы вышедших с нашего IP.
Вопросы: как отследить, кто и как с нашего сервера спамит?

А послушать порты исходящие и записать/проанализировать логи исходящего трафика пытались?
Посмотреть кто открывает исходящий порт и шлёт SMTP пытались?

Спасибо сказали:
ruslan13
Сообщения: 4
ОС: Debian

Re: Отлавливание исходящей почты

Сообщение ruslan13 »

Goodvin писал(а):
08.11.2016 17:41
А послушать порты исходящие и записать/проанализировать логи исходящего трафика пытались?
Посмотреть кто открывает исходящий порт и шлёт SMTP пытались?

Вообще-то я и спрашивал, как и чем правильней это сделать..
Спасибо сказали:
Аватара пользователя
Goodvin
Ведущий рубрики
Сообщения: 4333
Статус: ⚝⚠⚒⚑⚖☭☞☣☤&

Re: Отлавливание исходящей почты

Сообщение Goodvin »

ruslan13 писал(а):
10.11.2016 11:40
Goodvin писал(а):
08.11.2016 17:41
А послушать порты исходящие и записать/проанализировать логи исходящего трафика пытались?
Посмотреть кто открывает исходящий порт и шлёт SMTP пытались?

Вообще-то я и спрашивал, как и чем правильней это сделать..

Вообще-то Вы тему создали с Вашим вопросом не в разделе "Вопрос новичка", а в разделе "Администрирование".

В целом, в мире среди ИТ-специалистов так принято, что системный администратор должен уметь пользоваться интернетом и поисковиками.
Вот и выглядело так, что Вам нужен совет в какую сторону смотреть.

Вам такой ответ и дали: смотреть в сторону проверки исходящего трафика в интересующем Вас разрезе.

Вы хотя бы поиском по этому форуму пытались воспользоваться?
Вы ведь не думаете, что Вы первый в интернете человек, которому понадобилось трафик слушать и анализировать.

Анализ трафика
монитор подключений
Как подсмотреть обмен между устройствами?
tcpdump - анализ трафика
Чего качается....
Решено: Как узнать что качает программа
Полное прослушивание трафика
Сниффер
Консольный аналог Wireshark. отслеживание приходящих на интерфейс пакетов через консоль?
Как выявить какая программа ест трафик?
Большой исходящий трафик
Машина посылает в мир большой траффик
и другие.

Если написанное Вам непонятно от слова совсем и это не Ваша область, то просто передайте эту информацию системному администратору, он знает что с этим делать.
Спасибо сказали:
Аватара пользователя
Goodvin
Ведущий рубрики
Сообщения: 4333
Статус: ⚝⚠⚒⚑⚖☭☞☣☤&

Re: Отлавливание исходящей почты

Сообщение Goodvin »

И даже вот так, вообще близкий к Вашему случай:
Мониторинг SMTP, POP3, ICQ траффика
Спасибо сказали:
ruslan13
Сообщения: 4
ОС: Debian

Re: Отлавливание исходящей почты

Сообщение ruslan13 »

Goodvin
Я почитал о различиях форумов "Администрирование" и "Вопрос новичка" и решил, что это все-таки сюда. Извиняюсь, если ошибся.
Ознакомившись с данными Вами ссылками, вижу, что кроме снифферов и ручного анализа вариантов нет. Довольно неудобно, если спамят понемногу раз в несколько дней. Мне проще закрыть исходящие соединения, они не особо нужны.
Спасибо.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Отлавливание исходящей почты

Сообщение Bizdelnick »

ruslan13 писал(а):
10.11.2016 14:53
Я почитал о различиях форумов "Администрирование" и "Вопрос новичка" и решил, что это все-таки сюда. Извиняюсь, если ошибся.

Не обращайте внимания, Goodvin всегда так разговаривает. Правильно всё с форумом.

ruslan13 писал(а):
10.11.2016 14:53
вижу, что кроме снифферов и ручного анализа вариантов нет

Кроме снифферов варианты есть, но ручным анализом в любом случае придётся заняться. Если не выяснить, кто и как проник в систему, Вам останется только ждать, пока не сделают ещё большую гадость (которая может привести к отказу хостера сотрудничать с Вами и внесению Вашего сайта во всевозможные блеклисты, начиная с браузерных — в случае распространения троянов — и заканчивая непотребнадзоровским — в случае распространения запрещённой информации).
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Goodvin
Ведущий рубрики
Сообщения: 4333
Статус: ⚝⚠⚒⚑⚖☭☞☣☤&

Re: Отлавливание исходящей почты

Сообщение Goodvin »

ruslan13 писал(а):
10.11.2016 14:53
Goodvin
Я почитал о различиях форумов "Администрирование" и "Вопрос новичка" и решил, что это все-таки сюда. Извиняюсь, если ошибся.

Дело же не в извинениях, речь не об этом.
Сама тема вопроса как раз подходит под "Администрирование", но и ответ на него здесь скорее всего дадут в расчёте на системного администратора на той стороне.
Ведь совсем неочевидно, что автор вопроса в "Администрировании" не знает чем и как "слушать" и анализировать трафик и даже не найдет это поиском по десяткам обсужденных аналогичных тем.

ruslan13 писал(а):
10.11.2016 14:53
Ознакомившись с данными Вами ссылками, вижу, что кроме снифферов и ручного анализа вариантов нет. Довольно неудобно, если спамят понемногу раз в несколько дней. Мне проще закрыть исходящие соединения, они не особо нужны.
Спасибо.

Варианты есть.
Но в любом случае от того, кто их будет применять, потребуется понимание увиденного в трафике.
Чудодейственной панацеи, которая автоматически сама всё найдет и исправит, увы, нет.

В любом случае потребуется понимание сетевых протоколов, понимание работы процессов в системе, понимание методов прекращения нелегитимной активности.
Иначе, как сказали выше, ситуация всё равно остаётся опасной и чреватой непредсказуемыми последствиями.

Сегодня зловред спам рассылает, а завтра может стать частью ботнета в DDoS-атаке или чего похуже.
И владелец взломанного сервере в лучшем случае получит финансовый ущерб, а в худшем может стать соучастником чего-то противоправного.
Спасибо сказали:
ruslan13
Сообщения: 4
ОС: Debian

Re: Отлавливание исходящей почты

Сообщение ruslan13 »

Goodvin
Вообще-то я в IT больше 20 лет, хотя и в сторону разработки ПО, но и администрированием Unix систем слегка занимался, и не вижу ничего предосудительного в том, что человек, столкнувшийся с моей проблемой, заходит сюда или на Windows форум и спрашивает - какой сетевой анализатор лучше, какой имеет возможность отлавливать и показывать в удобоваримом виде SMTP траффик. Никакой высокоуровневый сисадмин не знает всего, что существует в природе для удобства его работы, и может озадачиться таким вопросом с желанием получить обоснованные практическим использованием ответы.

Bizdelnick
Спасибо. Пока просто закрыл исходящие соединения, если повторится - переставлю систему, это менее затратно по времени. Если опять повториться, буду уже искать дыры в софте (Joomla).
Спасибо сказали:
Аватара пользователя
Goodvin
Ведущий рубрики
Сообщения: 4333
Статус: ⚝⚠⚒⚑⚖☭☞☣☤&

Re: Отлавливание исходящей почты

Сообщение Goodvin »

ruslan13 писал(а):
16.11.2016 06:30
Goodvin
Вообще-то я в IT больше 20 лет, хотя и в сторону разработки ПО, но и администрированием Unix систем слегка занимался, и не вижу ничего предосудительного в том, что человек, столкнувшийся с моей проблемой, заходит сюда или на Windows форум и спрашивает - какой сетевой анализатор лучше, какой имеет возможность отлавливать и показывать в удобоваримом виде SMTP траффик. Никакой высокоуровневый сисадмин не знает всего, что существует в природе для удобства его работы, и может озадачиться таким вопросом с желанием получить обоснованные практическим использованием ответы.

Написанное мной - оно не с целью Вас в чем-то убедить.
Просто прочтите текст под красной ссылкой в моей подписи.
Там немного, но очень полезно.
Спасибо сказали:
Ответить