Атака?

Вопросы по общему администрированию *nix-подобных систем.
Писать в этот форум могут только зарегистрированные пользователи.

Модераторы: prefer, alexandrnew, ALex_hha, Roman, Axel

Ответить
The Man Who
Новичок
Новичок
Сообщения: 3
Зарегистрирован: 02 авг 2012, 17:48

Атака?

Сообщение The Man Who » 02 авг 2012, 18:12

Друзья, прошу вашей помощи!

В последние несколько дней наблюдаю на сервере аномалию, помогите пожалуйста разобраться.

Даже и не знаю как описать свою проблему, поэтому просто опишу симптомы. Они такие:

1. В очереди появляется туева хуча сообщений с одинаковым адресом отправителя и получателя, причём домены, как вы можете видеть абсолютно разные и само собой не мои). Пример вывода mailq:

Код: Выделить всё

05F3525CC62     1012 Thu Aug  2 10:08:15  webmaster@vainnow.com
webmaster@vainnow.com

1F19C25662B     1371 Thu Aug  2 10:08:17  sarkis.63@mail.ru
sarkis.63@mail.ru

2890F25A18C      974 Thu Aug  2 10:08:15  sasha_f@inbox.ru
sasha_f@inbox.ru

37EB225CC64     1738 Thu Aug  2 10:08:17 webmaster@medhomepage.de
webmaster@medhomepage.de
2. Сообщения эти валятся в очередь с дикой скоростью забивая почти все мощности сервера.

3. netstat -a, в свою очередь показывает следующее:

Код: Выделить всё

tcp4       0      0 myhost.12142         mail.arhipelag.r.smtp  SYN_SENT
tcp4       0      0 myhost.12124         bay0-mc3-f.bay0..smtp  SYN_SENT
tcp4       0      0 myhost.12106         arashan.com.kg.smtp    SYN_SENT
tcp4       0      0 myhost.12014         mail03.dd24.net.smtp   SYN_SENT
tcp4       0      0 myhost.11913         lb-in-f191.1e100.smtp  SYN_SENT
tcp4       0      0 myhost.11866         host-193-107-68-.smtp  SYN_SENT
Соответственно я уже попал во всевозможные грэй и блак листы.

Я полагаю, что гдето в настройках постфикса у меня косяк, раз какие-то левые адреса могут подсаживать мне такого рода сообщения.

Куда смотреть, как бороться, что делать??? :o

Заранее благодарен.

Аватара пользователя
prefer
Site Admin
Site Admin
Сообщения: 2341
Зарегистрирован: 08 июн 2007, 09:41

Сообщение prefer » 12 авг 2012, 19:34

Покажите свою конфигурацию Postfix
postconf -n
I prefer Postfix

The Man Who
Новичок
Новичок
Сообщения: 3
Зарегистрирован: 02 авг 2012, 17:48

Сообщение The Man Who » 14 авг 2012, 14:53

prefer писал(а):Покажите свою конфигурацию Postfix
postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
base = /usr/local/etc/postfix
command_directory = /usr/local/sbin
config_directory = /usr/local/etc/postfix
content_filter = kav4lms_filter:127.0.0.1:10025
daemon_directory = /usr/local/libexec/postfix
data_directory = /var/db/postfix
debug_peer_level = 2
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5
disable_vrfy_command = no
html_directory = /usr/local/share/doc/postfix
inet_interfaces = all
inet_protocols = ipv4
local_recipient_maps = $virtual_mailbox_maps $virtual_maps $transport_maps
mail_owner = postfix
mailbox_size_limit = 524681216
mailq_path = /usr/local/bin/mailq
manpage_directory = /usr/local/man
message_size_limit = 10240000
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain,
mydomain = myhost.ru
myhostname = myhost.ru
mynetworks = 127.0.0.0/8, куча.разных.сетей.и/их_маски
mynetworks_style = host
newaliases_path = /usr/local/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/local/share/doc/postfix
sample_directory = /usr/local/etc/postfix
sendmail_path = /usr/local/sbin/sendmail
setgid_group = maildrop
smtp_always_send_ehlo = yes
smtp_connect_timeout = 30s
smtpd_banner = $myhostname ESMTP
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_unlisted_recipient, reject_unknown_recipient_domain, reject_non_fqdn_recipient, reject_unverified_recipient
smtpd_reject_unlisted_sender = yes
smtpd_sender_restrictions = permit_mynetworks, reject_authenticated_sender_login_mismatch, reject_unknown_sender_domain, reject_unlisted_sender, reject_unverified_sender
smtpd_timeout = 300s
soft_bounce = no
strict_rfc821_envelopes = yes
transport_maps = proxy:pgsql:$base/sql/transport.cf
unknown_local_recipient_reject_code = 550
unknown_relay_recipient_reject_code = 550
unknown_virtual_alias_reject_code = 550
unknown_virtual_mailbox_reject_code = 550
unverified_recipient_reject_code = 450
unverified_sender_reject_code = 550
virtual_gid_maps = pgsql:$base/sql/gids.cf
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_limit = 524681216
virtual_mailbox_maps = pgsql:$base/sql/users.cf
virtual_maps = proxy:pgsql:$base/sql/aliases.cf
virtual_uid_maps = pgsql:$base/sql/uids.cf

Аватара пользователя
prefer
Site Admin
Site Admin
Сообщения: 2341
Зарегистрирован: 08 июн 2007, 09:41

Сообщение prefer » 14 авг 2012, 15:37

1) Не верно
local_recipient_maps = $virtual_mailbox_maps $virtual_maps $transport_maps
2) Необходимо уточнить
mynetworks = 127.0.0.0/8, куча.разных.сетей.и/их_маски
Что за сети ? С точки зрения безопасности.
I prefer Postfix

The Man Who
Новичок
Новичок
Сообщения: 3
Зарегистрирован: 02 авг 2012, 17:48

Сообщение The Man Who » 14 авг 2012, 16:33

prefer писал(а):1) Не верно
local_recipient_maps = $virtual_mailbox_maps $virtual_maps $transport_maps
2) Необходимо уточнить
mynetworks = 127.0.0.0/8, куча.разных.сетей.и/их_маски
Что за сети ? С точки зрения безопасности.
1) Что не так? Что читать?
2) Три локалки и куча подсеток филиалов, пользующихся разными провайдерами.

Ответить