на сервере Debian Lenny, запущен postfix. недавно на сервер поступила жалоба - якобы с него рассылается спам. в логах действительно куча вот такого: http://pastebin.com/Q2gz6FiE , которое появляется буквально ежеминутно (там в логах все ерроры и Your ip address is blacklisted, но не в этом суть). 25-й порт закрыт, вот содержимое main.cf: Code: # See /usr/share/postfix/main.cf.dist for a commented, more complete version # Debian specific: Specifying a file name will cause the first # line of that file to be used as the name. The Debian default # is /etc/mailname. #myorigin = /etc/mailname smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no # appending .domain is the MUA's job. append_dot_mydomain = no # Uncomment the next line to generate "delayed mail" warnings #delay_warning_time = 4h readme_directory = no # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for # information on enabling SSL in the smtp client. myhostname = sds.fastvps.ru alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = %mydomainname%, localhost.fastvps.ru, localhost #relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all inet_protocols = ipv4 mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp local_recipient_maps = # sasl smtpd_sasl_local_domain = smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination smtpd_sasl_authenticated_header = yes smtpd_sasl_application_name = smtpd в чем может быть проблема?
на сервере только мой сайт, ни у кого доступа больше нет.. в процессах нет php, проверял когда в логи активно шли подобного записи. открыты порты 21, 22, 53, 80, 110, 443. 25 закрыл нафиг, не помогло. пример логов: http://pastebin.com/BMGnx2B8 из-за чего еще может быть?
хорошо, допустим похекали, как отследить что-то (скрипт может какой-нибудь), что запускает все это?.. есть идеи?
Например на сервере форум с возможностью отсылки email через профиль и etc. ТВОЙ форум, и ломать ничего не придется
так, походу проблема решена (надеюсь). почистил очередь postfix, там было чуть больше 5000 писем, которые все никак не отправлялись (connection refused и тд). я подозреваю, что до вчерашнего вечера, пока я не закрыл 25 порт, был открытый релей и спамеры радостно этим пользовались. а в логи записывались сообщения о неудачных попытках отправки этих писем из очереди. вот уже полчаса в логах тишина. всем спасибо)
