Linux.pl »

Baza sprzętu »
Rozdajemy Linuksa »
Poczta Linux.pl »
Hosting Linux.pl »

Nowe posty

xx Problem ze sterownikami. (5)
2024-04-13, 21:25:16
xx Instalacja xfce4 (2)
2024-04-13, 16:20:17
xx Serie kompilacji bez instalacji dla “emerge” w Gentoo (2)
2024-04-08, 18:40:04
xx Plasma 6 w Neonie ssie trochę mniej ... (17)
2024-04-05, 10:03:46
xx Problem z Linux Lite po instalacji (3)
2024-04-03, 14:23:40
xx Jak właczyć num locka przy starcie systemu debian 12? (12)
2024-04-02, 17:43:54
xx Brak dźwieku w systemie. (5)
2024-04-02, 16:13:41
xx Dystrybucja pod HP Omen (7)
2024-03-29, 11:33:05
xx [Poradnik] Wyszukiwanie Sterowników (2)
2024-03-27, 21:08:23
xx Ile pingwinów? (1)
2024-03-27, 08:59:24
« poprzedni następny »
Strony: [1]   Do dołu

Autor Wątek: Problem z pocztą  (Przeczytany 1919 razy)

Offline mariuszad

  • Users
  • Stały bywalec
  • ***
  • Wiadomości: 122
    • Zobacz profil
Problem z pocztą
« dnia: 2016-08-30, 14:55:08 »
Witam
Używam postfixa+dovecot+mysql+amavis. Od wczoraj mam problemy i szczerze mówiąc nie wiem co się dzieje. W kolejce do wysłania po paru godzinach jest kilka K maili tego typu :
Kod: [Zaznacz]
# mailq
-Queue ID- --Size-- 1DF9AA411ED     2046 Tue Aug 30 14:43:10  andrea_jennings@mojadomena.pl
(host mta7.am0.yahoodns.net[98.136.216.26] said: 421 4.7.1 [TS03] All messages from 111.222.333.444 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html (in reply to MAIL FROM command))
                                         sulija@yahoo.com
----Arrival Time---- -Sender/Recipient-------
68004A413CF     2152 Tue Aug 30 14:37:37  robert_lowery@mojadomena.pl
(delivery temporarily suspended: lost connection with mx4.hotmail.com[207.46.8.199] while sending RCPT TO)
                                         al3ood@hotmail.com
andrea_jennings@mojadomena.pl oraz  robert_lowery@mojadomena.pl oczywiście nie są moimi użytkownikami a wygląda tak jakby próbowali przesłać przez mój serwer poczty wiadomości.
Serwer poczty sprawdziłem pod kątem openrelaya (http://www.mailradar.com/openrelay/) ale testy nic nie wykazały - wszystko ok (TEST PASSED).

Log z sesji wygląd tak:

Kod: [Zaznacz]
Aug 30 14:48:52 ns1 postfix/pickup[1539]: 3EF8FA418DF: uid=48 from=<mary_cross@mojadomena.pl>
Aug 30 14:48:52 ns1 postfix/cleanup[9987]: 3EF8FA418DF: message-id=<0264dd3fe91723cfaaa241d840321078@mojadomena.pl>
Aug 30 14:48:52 ns1 dkim-filter[1943]: 3EF8FA418DF: no signature data
Aug 30 14:48:52 ns1 postfix/qmgr[1540]: 3EF8FA418DF: from=<mary_cross@mojadomena.pl>, size=1443, nrcpt=1 (queue active)
Aug 30 14:48:52 ns1 postfix/pickup[1539]: 55E4CA4166A: uid=48 from=<mary_cross@mojadomena.pl>
Aug 30 14:48:52 ns1 postfix/cleanup[9987]: 55E4CA4166A: message-id=<bef7a7e113aad4601a4db82bd763e501@mojadomena.pl>
Aug 30 14:48:52 ns1 dkim-filter[1943]: 55E4CA4166A: no signature data
Aug 30 14:48:52 ns1 postfix/smtpd[9998]: connect from localhost[127.0.0.1]
Aug 30 14:48:52 ns1 postfix/smtpd[9998]: 6D6B1A41906: client=localhost[127.0.0.1]
Aug 30 14:48:52 ns1 postfix/cleanup[10001]: 6D6B1A41906: message-id=<0264dd3fe91723cfaaa241d840321078@mojadomena.pl>
Aug 30 14:48:52 ns1 postfix/qmgr[1540]: 55E4CA4166A: from=<mary_cross@mojadomena.pl>, size=1430, nrcpt=1 (queue active)
Aug 30 14:48:52 ns1 postfix/pickup[1539]: 76234A418E4: uid=48 from=<mary_cross@mojadomena.pl>
Aug 30 14:48:52 ns1 postfix/qmgr[1540]: 6D6B1A41906: from=<mary_cross@mojadomena.pl>, size=1865, nrcpt=1 (queue active)
Aug 30 14:48:52 ns1 postfix/cleanup[9987]: 76234A418E4: message-id=<c859042f2e5965f9659a0f25b42e5f6a@mojadomena.pl>
Aug 30 14:48:52 ns1 dkim-filter[1943]: 76234A418E4: no signature data
Aug 30 14:48:52 ns1 amavis[9930]: (09930-01) Passed CLEAN {RelayedOpenRelay}, <mary_cross@mojadomena.pl> -> <slamdk79@yahoo.com.sg>, Message-ID: <0264dd3fe91723cfaaa241d840321078@mojadomena.pl>, mail_id: azfTbE12kXzq, Hits: -, size: 1405, queued_as: 6D6B1A41906, 203 ms
Aug 30 14:48:52 ns1 postfix/smtp[9992]: 3EF8FA418DF: to=<slamdk79@yahoo.com.sg>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.39, delays=0.18/0.01/0/0.2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6D6B1A41906)
Aug 30 14:48:52 ns1 postfix/qmgr[1540]: 3EF8FA418DF: removed
Aug 30 14:48:52 ns1 postfix/smtpd[10009]: connect from localhost[127.0.0.1]
Aug 30 14:48:52 ns1 postfix/smtpd[10009]: 9AF07A4191B: client=localhost[127.0.0.1]
Aug 30 14:48:52 ns1 postfix/cleanup[10001]: 9AF07A4191B: message-id=<bef7a7e113aad4601a4db82bd763e501@mojadomena.pl>
Aug 30 14:48:52 ns1 postfix/pickup[1539]: 9DA59A418FA: uid=48 from=<alberta_frank@mojadomena.pl>
Aug 30 14:48:52 ns1 postfix/qmgr[1540]: 9AF07A4191B: from=<mary_cross@mojadomena.pl>, size=1844, nrcpt=1 (queue active)
Aug 30 14:48:52 ns1 postfix/qmgr[1540]: 76234A418E4: from=<mary_cross@mojadomena.pl>, size=1431, nrcpt=1 (queue active)
Aug 30 14:48:52 ns1 postfix/cleanup[9987]: 9DA59A418FA: message-id=<466b1cf4f347eca434b385c43c262203@mojadomena.pl>
Aug 30 14:48:52 ns1 dkim-filter[1943]: 9DA59A418FA: no signature data
Aug 30 14:48:52 ns1 amavis[9946]: (09946-01) Passed CLEAN {RelayedOpenRelay}, <mary_cross@mojadomena.pl> -> <majek85@yahoo.com>, Message-ID: <bef7a7e113aad4601a4db82bd763e501@mojadomena.pl>, mail_id: Qqv9QZeYR380, Hits: -, size: 1393, queued_as: 9AF07A4191B, 186 ms
Aug 30 14:48:52 ns1 postfix/smtp[10003]: 55E4CA4166A: to=<majek85@yahoo.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.47, delays=0.22/0.06/0/0.19, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 9AF07A4191B)
Aug 30 14:48:52 ns1 postfix/qmgr[1540]: 55E4CA4166A: removed

Może ktoś ma pomysł co z tym zrobić?

Pozdrawiam
Mariusz
Zapisane

Offline mariuszad

  • Users
  • Stały bywalec
  • ***
  • Wiadomości: 122
    • Zobacz profil
Odp: Problem z pocztą
« Odpowiedź #1 dnia: 2016-08-30, 20:28:40 »
uaktualnienie:
Skan dysku programem clamav nic nie pokazał ale chyba znalazłem przyczynę ale potrzebuję pomocy żeby tego śmiecia pozbyć się. Otóż z tego co widzę problemem jest stara joomla 1.5.x. Wiem wiem - powinienem ją zaktualizować ale...
W każdym razie. W php.ini mam włączone funkcje : mail.add_x_header = On oraz  expose_php = On. Dzięki temu w nagłówku spamu jednego z maili znalazłem taki wpis :

Kod: [Zaznacz]
vim /var/spool/postfix/deferred/0/01F38A40AB7
X-PHP-Originating-Script: 48:article.php(1960)

oryginalna treść spamu:
Kod: [Zaznacz]
CO           2171             657               1               0            2171T^P1472579771 30453A^Vcreate_time=1472579771A^Urewrite_context=localS^Wmercedes_dawson@mojadomena.plp^M            0A^Mencoding=7bitA^Ylog_client_name=localhostA^\log_client_address=127.0.0.1A^Ulog_client_port=52026A'log_message_origin=localhost[127.0.0.1]A^Wlog_helo_name=localhostA^Wlog_protocol_name=ESMTPA^Uclient_name=localhostA^]reverse_client_name=localhostA^Xclient_address=127.0.0.1A^Qclient_port=52026A^Shelo_name=localhostA^Sprotocol_name=ESMTPA^Uclient_address_type=2A.dsn_orig_rcpt=rfc822;kieranyoung@hotmail.co.ukO^Ykieranyoung@hotmail.co.ukR^Ykieranyoung@hotmail.co.ukp^O              0M^@N0Received: from localhost (localhost [127.0.0.1])N3     by ns1.mojadomena.pl (Postfix) with ESMTP id 07A26A40ABFNH    for <kieranyoung@hotmail.co.uk>; Tue, 30 Aug 2016 19:56:11 +0200 (CEST)N'X-Virus-Scanned: amavisd-new at mojadomena.plN(Received: from ns1.mojadomena.pl ([127.0.0.1])NA    by localhost (ns1.mojadomena.pl [127.0.0.1]) (amavisd-new, port 10024)N<      with ESMTP id a4rVY8RQK6Ew for <kieranyoung@hotmail.co.uk>;N'   Tue, 30 Aug 2016 19:56:10 +0200 (CEST)N2Received: by ns1.mojadomena.pl (Postfix, from userid 48)N7    id 48426A40B4F; Tue, 30 Aug 2016 19:56:08 +0200 (CEST)NKDKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mojadomena.pl; s=default;N?   t=1472579769; bh=GoVDjz+VsBKLVC9n1oIFxvE2DQ9swRh3aTBRSN3U9po=;N=        h=To:Subject:Date:From:Message-ID:MIME-Version:Content-Type:N^\  Content-Transfer-Encoding;ND   b=b2wP2R00kj0v3sAQIwv71zSc2Fva9upyRKd4TlRj3rO0HabNif/SRDRisIXz0cv0vND    UAaVDQTQh1+w++XDAE2hX0Fu3dNrTHeXZk1ol/sdqXjNDwvuHc2wU12pQkzQMWgoAKN+    ggN3zDhmQigT6Qq1Ob0LFAuNBMEi53tMZHMlYu1Q=N^]To: kieranyoung@hotmail.co.ukN.Subject: CBT for her slave followed by handjobN>X-PHP-Originating-Script: 48:article.php(1960) : eval()'d codeN%Date: Tue, 30 Aug 2016 19:56:08 +0200N/From: Mercedes Dawson <mercedes_dawson@mojadomena.pl>N6Message-ID: <e7cf1485ad2c4c8ebfd183820d556792@mojadomena.pl>N^MX-Priority: 3w^A0N^QMIME-Version: 1.0N$Content-Type: multipart/alternative;N/      boundary="b1_e7cf1485ad2c4c8ebfd183820d556792"N^_Content-Transfer-Encoding: 8bitp^O              0N^@N%--b1_e7cf1485ad2c4c8ebfd183820d556792N*Content-Type: text/plain; charset=us-asciiN^@N½^ABrunette hottie Ava Addams demostrates her new lingerie making her boyfriend hard [ http://] Find the video here.N^@N^@N%--b1_e7cf1485ad2c4c8ebfd183820d556792N)Content-Type: text/html; charset=us-asciiN^@N^F<html>N^F<body>NH<div style="font-family:Arial,sans-serif;color:#000000;font-size:14px;">NÇ^ABrunette hottie Ava Addams demostrates her new lingerie making her boyfriend hard <a href="http://">Find the video here.</a>N^F</div>N^G</body>N^G</html>N^@N^@N^@N'--b1_e7cf1485ad2c4c8ebfd183820d556792--N^@p^O              0X^@A^Mencoding=8bitE^@

Z tego co się doczytałem to ten skrypt php generuje cały spam. Nie jestem w stanie stwierdzić jak się tam znalazł. Przeniosłem go na razie do innego katalogu. Sądziłem że to koniec ale nie. Spam jest dalej generowany. Zastanawiam się co jeszcze generuje maile.
Przy nazwie podany jest ID procesu (48) Czy jest jakiś sposób aby stwierdzić co go uruchamiało?
Może ktoś z was wie co można jeszcze zrobić aby to powstrzymać? Badzo zależy mi na czasie więc będę niezmiernie wdzięczny  za dobre pomysły i wszelkie rady.

Bardzo proszę o pomoc.

Pozdrawiam
Mariusz


Zapisane

Offline mariuszad

  • Users
  • Stały bywalec
  • ***
  • Wiadomości: 122
    • Zobacz profil
Odp: Problem z pocztą
« Odpowiedź #2 dnia: 2016-09-15, 08:10:22 »
Sprawa rozwiązana ...
Zapisane
Strony: [1]   Do góry
« poprzedni następny »