Servidor Debian/Postfix enviando mensagens falsas

franzisk19
(usa Debian)

Enviado em 13/09/2012 - 13:42h

Pessoal preciso muito de ajuda nisso.

Realmente não estou conseguindo encontrar o problema.

Tenho um servidor Linux 2.6.26-2-xen-amd64 Debian, com vários sites hospedados.

De ontem pra hoje ele começou a enviar mensagens para vários destinatários com um remetente falso e utilizando um dos meus domínios hospedados.

Já aconteceu isso antes e eu encontrei o problema utilizando o ClamScan, porém dessa vez não estou encontrando nada.

De repente vejo 52000 mensagens na fila como cancelados e vai enchendo o meu espaço físico.

Alguma dica do que posso fazer para solucionar isso?

Obrigado

danniel-lara
(usa Fedora)

Enviado em 13/09/2012 - 13:44h

de uma olhada nos processos que estão rodando
pode identificar alguma coisa

franzisk19
(usa Debian)

Enviado em 13/09/2012 - 13:46h

Cara sou meio leigo nisso, com ver esses processos?

Quase nunca mexo nesse servidor, ele estava configurado e rodando sem nenhum problema.

Agora tive que colocar esse domínio na lista negra (tenho um Painel Plesk) senão não dou conta de ficar removendo as mensagens da lista.

Obrigado por responder.

franzisk19
(usa Debian)

Enviado em 13/09/2012 - 13:47h

Passei o ClamScan atualizado no /var/www/vhosts/ e o resultado foi:

----------- SCAN SUMMARY -----------
Known viruses: 1301151
Engine version: 0.97.3
Scanned directories: 8123
Scanned files: 56905
Infected files: 0
Data scanned: 1831.94 MB
Data read: 10733.13 MB (ratio 0.17:1)
Time: 832.773 sec (13 m 52 s)

danniel-lara
(usa Fedora)

Enviado em 13/09/2012 - 13:54h

use o comando
# ps ax

para verificar se não tem um processo efetuando isso

franzisk19
(usa Debian)

Enviado em 13/09/2012 - 13:57h

Segue a lista de processos, não como como identificar se qual processo está causando isso:

PID TTY STAT TIME COMMAND
1 ? Ss 0:03 init [2]
2 ? S< 0:00 [kthreadd]
3 ? S< 0:00 [migration/0]
4 ? S< 0:01 [ksoftirqd/0]
5 ? S< 0:07 [watchdog/0]
6 ? S< 0:09 [events/0]
7 ? S< 0:00 [khelper]
19 ? S< 0:00 [xenwatch]
20 ? S< 0:00 [xenbus]
25 ? S< 0:00 [migration/1]
26 ? S< 0:00 [ksoftirqd/1]
27 ? S< 0:00 [watchdog/1]
28 ? S< 0:08 [events/1]
55 ? S< 0:07 [kblockd/0]
56 ? S< 0:09 [kblockd/1]
65 ? S< 0:00 [ksuspend_usbd]
71 ? S< 0:00 [khubd]
74 ? S< 0:00 [kseriod]
112 ? S 0:00 [pdflush]
113 ? S 0:20 [pdflush]
114 ? S< 0:05 [kswapd0]
115 ? S< 0:00 [aio/0]
116 ? S< 0:00 [aio/1]
236 ? S< 0:00 [net_accel/0]
237 ? S< 0:00 [net_accel/1]
549 ? S< 0:00 [kstriped]
555 ? S< 0:00 [ksnapd]
573 ? S< 0:00 [kdmflush]
577 ? S< 0:00 [kdmflush]
613 ? S< 5:56 [kjournald]
689 ? S<s 0:00 udevd --daemon
1199 ? S 0:03 /bin/bash /usr/sbin/xe-daemon -p /var/run/xe-daemon.pid
1278 ? S 0:55 /usr/sbin/apache2 -k start
1315 ? Ss 0:00 dhclient3 -pf /var/run/dhclient.eth0.pid -lf /var/lib/dhcp3/dhclient.eth0.leases eth0
1505 ? Sl 10:23 /usr/sbin/rsyslogd -c3
1519 ? Ss 0:00 /usr/bin/dbus-daemon --system
1531 ? Ss 0:01 avahi-daemon: running [nuvem.local]
1532 ? Ss 0:00 avahi-daemon: chroot helper
1562 ? Ss 0:03 /usr/sbin/sshd
1602 ? S 0:00 /bin/sh /usr/bin/mysqld_safe
1640 ? Sl 2:57 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysqld/mysqld.pid
1641 ? S 0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
1644 ? S 0:05 /usr/sbin/apache2 -k start
1647 ? S 0:03 /usr/sbin/apache2 -k start
1792 ? S 0:02 /usr/sbin/apache2 -k start
1793 ? S 0:01 /usr/sbin/apache2 -k start
1794 ? S 0:01 /usr/sbin/apache2 -k start
1795 ? S 0:02 /usr/sbin/apache2 -k start
1796 ? S 0:02 /usr/sbin/apache2 -k start
1840 ? S 0:03 /usr/sbin/apache2 -k start
1841 ? S 0:03 /usr/sbin/apache2 -k start
1842 ? S 0:03 /usr/sbin/apache2 -k start
1843 ? S 0:02 /usr/sbin/apache2 -k start
1844 ? S 0:02 /usr/sbin/apache2 -k start
1845 ? S 0:01 /usr/sbin/apache2 -k start
2143 ? Ss 0:00 /usr/sbin/cupsd
2158 ? Ss 0:00 lpd Waiting
2230 ? Ss 10:06 /usr/lib/postfix/master
2260 ? Ss 0:00 /usr/sbin/xinetd -pidfile /var/run/xinetd.pid -stayalive
2337 ? Ss 0:32 /usr/sbin/spamd --username=popuser --daemonize --nouser-config --helper-home-dir=/var/qmail --max-children
2403 ? S 0:07 spamd child
2406 ? S 0:00 spamd child
2558 ? Ss 0:08 /usr/sbin/apache2 -k start
2560 ? S 0:02 /usr/sbin/apache2 -k start
2838 ? S 0:03 /usr/sbin/sw-cp-serverd -f /etc/sw-cp-server/config
3035 ? Ss 0:01 /usr/sbin/cron
3088 tty1 Ss 0:00 /bin/login --
3942 tty1 S+ 0:00 -bash
5463 ? S 0:10 /usr/sbin/apache2 -k start
5838 ? Ssl 13:35 /usr/sbin/named -t /var/named/run-root -c /etc/named.conf -u bind
5894 ? S 0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrloggername=imapd
5896 ? S 0:00 /usr/sbin/courierlogger imapd
5905 ? S 0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrloggername=imapd-
5907 ? S 0:00 /usr/sbin/courierlogger imapd-ssl
5914 ? S 0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrloggername=pop3d
5916 ? S 0:00 /usr/sbin/courierlogger pop3d
5924 ? S 0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrloggername=pop3d-
5927 ? S 0:00 /usr/sbin/courierlogger pop3d-ssl
5944 ? S 0:00 pickup -l -t fifo -u -c -o content_filter smtp:127.0.0.1:10027
5945 ? S 0:00 qmgr -l -t fifo -u
5953 ? S 0:00 tlsmgr -l -t unix -u -c
5954 ? S 0:00 anvil -l -t unix -u -c
6060 ? S 0:40 /usr/sbin/apache2 -k start
7309 ? S 0:26 /usr/sbin/apache2 -k start
7514 ? S 0:08 /usr/sbin/apache2 -k start
7643 ? Ss 0:03 sshd: root@pts/0
7647 pts/0 Ss 0:00 -bash
10771 ? S 0:00 /usr/sbin/apache2 -k start
10778 ? S 0:00 /usr/sbin/apache2 -k start
10779 ? S 0:00 /usr/sbin/apache2 -k start
10780 ? S 0:01 /usr/sbin/apache2 -k start
10781 ? S 0:00 /usr/sbin/apache2 -k start
10782 ? S 0:00 /usr/sbin/apache2 -k start
10783 ? S 0:00 /usr/sbin/apache2 -k start
10784 ? S 0:00 /usr/sbin/apache2 -k start
11101 ? Ss 0:00 /usr/bin/freshclam -d --quiet
12401 ? S 0:00 smtpd -n smtp -t inet -u -c -o stress -o smtpd_proxy_filter 127.0.0.1:10025
12514 ? S 0:08 /usr/sbin/apache2 -k start
12515 ? S 0:00 spawn -n 127.0.0.1:10025 -t inet user=mhandlers-user argv=/usr/lib/plesk-9.0/postfix-queue 127.0.0.1 10027
12517 ? S 0:05 /usr/sbin/apache2 -k start
12518 ? S 0:05 /usr/sbin/apache2 -k start
12519 ? S 0:00 spawn -n 127.0.0.1:10027 -t inet user=mhandlers-user argv=/usr/lib/plesk-9.0/postfix-queue 127.0.0.1 10026
12521 ? S 0:07 /usr/sbin/apache2 -k start
12522 ? S 0:09 /usr/sbin/apache2 -k start
12525 ? S 0:00 cleanup -z -t unix -u -c
12557 ? S 0:00 pipe -n plesk_virtual -t unix flags=DORhu user=popuser popuser argv=/usr/lib/plesk-9.0/postfix-local -f ${s
12565 ? S 0:00 smtp -t unix -u -c
12583 ? S 0:15 /usr/sbin/apache2 -k start
12592 ? S 0:00 smtpd -n 127.0.0.1:10026 -t inet -u -c -o smtpd_client_restrictions -o smtpd_helo_restrictions -o smtpd_s
12594 ? S 0:00 bounce -z -t unix -u -c
12595 ? S 0:00 bounce -z -t unix -u -c
12638 ? S 0:00 sleep 60
12640 pts/0 R+ 0:00 ps ax
14805 ? S 0:02 /usr/sbin/apache2 -k start
15941 ? S 0:03 /usr/sbin/apache2 -k start
16549 ? S 0:20 /usr/sbin/apache2 -k start
16550 ? S 0:19 /usr/sbin/apache2 -k start
16728 ? S 0:21 /usr/sbin/apache2 -k start
16730 ? S 0:16 /usr/sbin/apache2 -k start
16776 ? S 0:24 /usr/sbin/apache2 -k start
16784 ? S 0:20 /usr/sbin/apache2 -k start
16830 ? S 0:34 /usr/sbin/apache2 -k start
16833 ? S 0:24 /usr/sbin/apache2 -k start
18378 ? S 0:05 /usr/sbin/apache2 -k start
18379 ? S 0:05 /usr/sbin/apache2 -k start
26438 ? S 0:24 /usr/sbin/apache2 -k start
29488 ? S 0:03 /usr/sbin/apache2 -k start
29490 ? S 0:06 /usr/sbin/apache2 -k start
29493 ? S 0:02 /usr/sbin/apache2 -k start
29494 ? S 0:03 /usr/sbin/apache2 -k start
29495 ? S 0:07 /usr/sbin/apache2 -k start

removido
(usa Nenhuma)

Enviado em 13/09/2012 - 15:23h

colocar esse comando:

tail -f /var/log/mail.info

Por ai vc pode ver o que se passa e perceber algo diferente na sua rede.

franzisk19
(usa Debian)

Enviado em 13/09/2012 - 15:28h

Deu pra ver que as mensagens ainda estão tentando ser enviadas:

Sep 13 15:25:14 nuvem postfix/smtpd[17229]: warning: non-SMTP command from unknown[184.22.58.165]: From: xgfuuull@web19.com.br
Sep 13 15:25:14 nuvem postfix/smtpd[17229]: disconnect from unknown[184.22.58.165]
Sep 13 15:25:21 nuvem postfix/smtpd[17409]: warning: 105.240.9.176.list.dsbl.org: RBL lookup error: Host or domain name not found. Name service error for name=105.240.9.176.list.dsbl.org type=A: Host not found, try again
Sep 13 15:25:21 nuvem postfix/smtpd[17409]: NOQUEUE: reject: RCPT from static.105.240.9.176.clients.your-server.de[176.9.240.105]: 554 5.7.1 <crmkni@web19.com.br>: Sender address rejected: Access denied; from=<crmkni@web19.com.br> to=<qzdylencjqu@yahoo.com.br> proto=ESMTP helo=<corbett-3fce78f>
Sep 13 15:25:22 nuvem postfix/smtpd[17409]: warning: non-SMTP command from static.105.240.9.176.clients.your-server.de[176.9.240.105]: From: crmkni@web19.com.br
Sep 13 15:25:22 nuvem postfix/smtpd[17409]: disconnect from static.105.240.9.176.clients.your-server.de[176.9.240.105]

Tem muitos assim, tentando enviar usando meu domínio web19.com.br:
from=<crmkni@web19.com.br> to=<qzdylencjqu@yahoo.com.br>

O que devo fazer?

franzisk19
(usa Debian)

Enviado em 13/09/2012 - 15:40h

Esse problema tá dando 80% de uso da memória do servidor (que é locado da Locaweb).

Preciso descobrir como resolver e fazer isso parar de tentar enviar essas mensagens.

removido
(usa Nenhuma)

Enviado em 13/09/2012 - 15:58h

a principio tenta bloquear esse ip que se autenticar no teu e-mail. procure ver se o main.cf esta aberto pra fora.

franzisk19
(usa Debian)

Enviado em 13/09/2012 - 16:01h

Esse IP 184.22.58.165?

Onde localizo esse main.cf ?
Vejo se ele tem permissão 777, é isso?

franzisk19
(usa Debian)

Enviado em 13/09/2012 - 16:13h

Coloquei esse IP 184.22.58.165
No /etc/hosts.deny

Era isso?