Sendmail, MTA, senhas roubadas e logs de autenticação

Navegue suas respostas
1

Eu tenho um servidor Linux (2.6.22) que está executando o sendmail. E alguém está conseguindo usar com sucesso meu servidor para enviar spam.

Infuriador.

Eu posso ver em / var / log / secure que várias contas do servidor estão sendo constantemente forçadas a usar senhas, então eu suponho que alguém tenha um par de chaves em algum momento. Eu mudei as senhas para todas as contas que posso encontrar, para coisas desagradáveis desconhecidas.

Eu verifiquei se o sendmail não está apenas sendo transmitido: estou vendo o / var / spool / clientmqueue ficar cheio de enormes quantidades de spam. Alguém está realmente convencendo meu servidor a enviar e-mails em seu nome.

Então, a questão principal é: o que eu preciso fazer para parar isso?

    
por Richard Jernigan 27.09.2017 / 05:01

2 respostas

0

Bruteforcing é um procedimento operacional padrão basicamente em qualquer serviço aberto à Internet nos dias de hoje. Eu sugeriria instalar o programa fail2ban ou similar e configurá-lo para monitorar os logs por tentativas incorretas de senha (pelo menos para o SSH e para o seu servidor de email) e IPs de lista negra (via iptables) que fazem várias tentativas ruins em curto prazo. Você ficará surpreso com quantas tentativas são feitas e quantos IPs estão na lista negra. Você não precisa colocá-los na lista negra por muito tempo antes de passar para outro host e outra pessoa aparecer.

    
por 27.09.2017 / 05:12
0

Eu deixei o sendmail há 20 anos, então não posso dizer exatamente como isso funciona com o sendmail, mas meu postfix me diz nos logs, quem (user ID) adicionou o email à fila. Se o seu spammer ainda conseguir autenticar, você deverá encontrar a conta usada dessa maneira.

Você também pode ver os cabeçalhos Received nos spams (veja apenas a (s) linha (s) recebida (s) do seu próprio servidor; o resto pode ser falso) para saber mais sobre o spammer e como ele conseguiu enganar o seu O sendmail aceita seu spam. Outros cabeçalhos adicionados pelo seu servidor também podem ajudar.

Se você não conseguir entender os registros ou as linhas de cabeçalho, adicione-os à sua pergunta para que possamos ajudar.

    
por 27.09.2017 / 10:57

Tags

LXC 2.0 Problemas de propriedade postfix logging message-id para um erro específico - O tamanho da mensagem excede o limite fixo