Почтовый сервер спамит? Прошу совета.

[eovchinnikov]

Приветствую всех.
Уважаемые, пожалуйста, помогите со следующей проблемой. Почтовый сервер организации попал в black-листы из-за рассылки спама. Вирусов в сети на машинах нет, но смущает mail.log
Обращался к знакомому линуксоиду, но он не админ, а разработчик: «…вроде бы все в порядке, но мне за это не платят и вообще, может, его у тебя взломали…»  Я уже покрылся ровным слоем нехороших слов от пользователей, гм…. Администрирование совмещаю с основным занятием, т. е., "все беды от непрофессионалов" (с), наверное...  :)
Будьте любезны, помогите консультацией «за спасибо» Лог и конфиг прилагаю.

http://www.uceprotect.net/en/rblcheck.php
85.ххх.ххх.50   LISTED   No longer a risk, your IP got listed
Last Impact: 30.08.2011 06:30 CEST+/- 1min

Часть лога, относящаяся к этому времени:

Код: [Выделить]

Aug 30 06:30:30 mail postfix/smtpd[17288]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:32 mail postfix/smtpd[17182]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:35 mail postfix/smtpd[17288]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 450 4.1.8 <hedbergm@urc.state.in.us>: Sender address rejected: Domain not found; from=<hedbergm@urc.state.in.us> to=<a-cchai@a-g-s.com> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:35 mail postfix/smtpd[17182]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 450 4.1.8 <hedbergmr@urc.state.in.us>: Sender address rejected: Domain not found; from=<hedbergmr@urc.state.in.us> to=<a-lambert@aaronsen.com> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:35 mail postfix/smtpd[17288]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:35 mail postfix/smtpd[17288]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:35 mail postfix/smtpd[17182]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:35 mail postfix/smtpd[17182]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:43 mail postfix/smtpd[17285]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:44 mail postfix/smtpd[17182]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:44 mail postfix/smtpd[17285]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jach12@striker.ottawa.on.ca>: Relay access denied; from=<susan.yqung@2flycanada.com> to=<jach12@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:44 mail postfix/smtpd[17285]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:44 mail postfix/smtpd[17285]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:44 mail postfix/smtpd[17182]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jaccoffnn@striker.ottawa.on.ca>: Relay access denied; from=<lyin123@ctt.com> to=<jaccoffnn@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:44 mail postfix/smtpd[17182]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:44 mail postfix/smtpd[17182]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:48 mail postfix/smtpd[17147]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:49 mail postfix/smtpd[17147]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jackdd@tqui.com>: Relay access denied; from=<abnegate@completecontrol2003.com> to=<jackdd@tqui.com> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:49 mail postfix/smtpd[17147]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:49 mail postfix/smtpd[17147]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:49 mail postfix/smtpd[17182]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:50 mail postfix/smtpd[17182]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jacke.kamin@ab-rhein-neckar.de>: Relay access denied; from=<lyin123@dstsystems.com> to=<jacke.kamin@ab-rhein-neckar.de> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:50 mail postfix/smtpd[17182]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:50 mail postfix/smtpd[17182]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:50 mail postfix/smtpd[17147]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:50 mail postfix/smtpd[17182]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:50 mail postfix/smtpd[17288]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:50 mail postfix/smtpd[17182]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jacham09o@striker.ottawa.on.ca>: Relay access denied; from=<abnegate@completecontrol2003.com> to=<jacham09o@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:50 mail postfix/smtpd[17182]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:50 mail postfix/smtpd[17182]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:50 mail postfix/smtpd[17285]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17182]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17304]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17306]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17307]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17308]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17309]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17308]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jachildi@striker.ottawa.on.ca>: Relay access denied; from=<lyin123@ctt.com> to=<jachildi@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:51 mail postfix/smtpd[17288]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jack_baly2000@striker.ottawa.on.ca>: Relay access denied; from=<bimbol@corven.com> to=<jack_baly2000@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:51 mail postfix/smtpd[17307]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jackgaeli@striker.ottawa.on.ca>: Relay access denied; from=<bimbol@corven.com> to=<jackgaeli@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:51 mail postfix/smtpd[17308]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17308]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17285]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jackeelee@striker.ottawa.on.ca>: Relay access denied; from=<changbanish@royfnet.com> to=<jackeelee@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:51 mail postfix/smtpd[17309]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jacdeldd@striker.ottawa.on.ca>: Relay access denied; from=<lyin123@dstsystems.com> to=<jacdeldd@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:51 mail postfix/smtpd[17309]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17309]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17307]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17307]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17288]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17288]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17285]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17285]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17147]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jackcball@dellmail.com>: Relay access denied; from=<abnegatedmortene@swiftwill.com> to=<jackcball@dellmail.com> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:51 mail postfix/smtpd[17147]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17147]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17304]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jack371m@striker.ottawa.on.ca>: Relay access denied; from=<bimbon@ms8.hinet.net> to=<jack371m@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:51 mail postfix/smtpd[17306]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jaceroyh@striker.ottawa.on.ca>: Relay access denied; from=<bimbon@ms8.hinet.net> to=<jaceroyh@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:51 mail postfix/smtpd[17306]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17306]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17304]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17304]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17182]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <jacjackaouk@striker.ottawa.on.ca>: Relay access denied; from=<jonkke@luukku.com> to=<jacjackaouk@striker.ottawa.on.ca> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:30:51 mail postfix/smtpd[17182]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:30:51 mail postfix/smtpd[17182]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:31:57 mail postfix/smtpd[17308]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:32:00 mail postfix/smtpd[17308]: warning: numeric domain name in resource data of MX record for afvbm.com: 127.0.0.1
Aug 30 06:32:00 mail postfix/smtpd[17308]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <a-forbes@afvbm.com>: Relay access denied; from=<footpath@barnstorm.beverlyb.com> to=<a-forbes@afvbm.com> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:32:00 mail postfix/smtpd[17308]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:32:00 mail postfix/smtpd[17308]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:32:10 mail postfix/smtpd[17182]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:32:10 mail postfix/smtpd[17308]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:32:10 mail postfix/smtpd[17304]: connect from localhost.localdomain[127.0.0.1]
Aug 30 06:32:13 mail postfix/smtpd[17308]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <j_eni@adni.net>: Relay access denied; from=<ly0da@padres.com> to=<j_eni@adni.net> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:32:13 mail postfix/smtpd[17308]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:32:13 mail postfix/smtpd[17308]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:32:13 mail postfix/smtpd[17304]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 450 4.1.8 <hedgema_6@urc.state.in.us>: Sender address rejected: Domain not found; from=<hedgema_6@urc.state.in.us> to=<j_ladson@mdli.com> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:32:13 mail postfix/smtpd[17304]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:32:13 mail postfix/smtpd[17304]: disconnect from localhost.localdomain[127.0.0.1]
Aug 30 06:32:16 mail postfix/smtpd[17182]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 <ja22@aclasscelebs.com>: Relay access denied; from=<ly473@ms33.hinet.net> to=<ja22@aclasscelebs.com> proto=SMTP helo=<mail.xxxxx.com.ua>
Aug 30 06:32:16 mail postfix/smtpd[17182]: lost connection after RCPT from localhost.localdomain[127.0.0.1]
Aug 30 06:32:16 mail postfix/smtpd[17182]: disconnect from localhost.localdomain[127.0.0.1]

Откуда такое безумное количество коннектов с 127.0.0.1??? И таких моментов в течение дня много.
Конфиг

Код: [Выделить]

# Global Postfix configuration file.  This file lists only a small subset
# of all parameters.  For the syntax, and for a complete parameter list,
# see the postconf(5) manual page.  For a commented and more complete
# version of this file see /etc/postfix/main.cf.dist

mynetworks = localhost, $myhostname, $config_directory/mynetworks

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes

smtpd_use_tls = yes
smtpd_tls_key_file = /var/lib/ssl/private/postfix.key
smtpd_tls_cert_file = /var/lib/ssl/certs/postfix.cert

##################################################################

address_verify_sender = <>
smtpd_helo_required = yes
smtpd_helo_restrictions = check_recipient_access cdb:/etc/postfix/whitelist,
permit_sasl_authenticated,
# permit_mynetworks,
check_helo_access cdb:/etc/postfix/helo_access,
reject_non_fqdn_hostname,
reject_unknown_hostname,
reject_invalid_hostname, permit
smtpd_client_restrictions = check_recipient_access cdb:/etc/postfix/whitelist,
reject_unknown_address,
reject_unknown_recipient_domain, reject_unknown_sender_domain,
permit_sasl_authenticated,
# permit_mynetworks,
check_client_access cdb:/etc/postfix/client_access,
reject_unauth_destination,
reject_unknown_client_hostname,
reject_rbl_client xbl.spamhaus.org, permit
smtpd_sender_restrictions = check_recipient_access cdb:/etc/postfix/whitelist,
reject_unknown_address,
reject_unknown_sender_domain,
reject_unauth_pipelining,
reject_non_fqdn_sender,
permit_sasl_authenticated,
# permit_mynetworks,
check_sender_access cdb:/etc/postfix/sender_access,
reject_unlisted_sender,
reject_unauth_destination, permit
smtpd_recipient_restrictions = check_recipient_access cdb:/etc/postfix/recipient_access,
permit_sasl_authenticated,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
reject_unlisted_recipient,
reject_unauth_destination,
reject_unknown_client, check_policy_service inet:127.0.0.1:60000

#######################################################################################################

virtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf, ldap:/etc/postfix/ldap-users.cf
local_recipient_maps = proxy:unix:passwd.byname $alias_maps ldap:/etc/postfix/ldap-users.cf
unknown_local_recipient_reject_code = 550
mailbox_unpriv_delivery = no
relayhost =
message_size_limit = 20971520
smtpd_sasl_security_options = noanonymous
mailbox_size_limit = 212000000
virtual_mailbox_limit = 212000000


[Карлсон]

Откуда такое безумное количество коннектов с 127.0.0.1???

Кто-то получил доступ к вашем серверу, и запустил на нем вредоносный код?

[eovchinnikov]

Откуда такое безумное количество коннектов с 127.0.0.1???

Кто-то получил доступ к вашем серверу, и запустил на нем вредоносный код?

Ну вот и мне хотелось бы узнать насколько это возможно и куда можно посмотреть? Альт Линукс 5 Ковчег, обновляется автоматически, доступ в серверную ограничен.

[ruslandh]

ssh поднят?

[eovchinnikov]

ssh поднят?

Да, порт стандартный. Рутом вход невозможен, только от обычного пользователя.

[ruslandh]

Ну, письма можно и от обычного пользователя слать.

[Vitls]

Скачиваем RootKit Hunter   http://www.rootkit.nl/projects/rootkit_hunter.html и проверяемся
Если это не помогает, то начинаем активные поиски приложения через netstat -natp, ps, lsof
ищем кто из локальных приложений держит tcp соединение с почтовым сервером

[eovchinnikov]

Ну, письма можно и от обычного пользователя слать.

Извиняюсь, если неполно ответил, но по SSH разрешен доступ только одному пользователю (мне через sshd_config)

[asy]

Будьте любезны, помогите консультацией «за спасибо» Лог и конфиг прилагаю.

Начнём с того, что беда однозначно, надо решать проблему до полного понимания.
Нет ли какого-нибудь web-сервера с формой для отправки сообщений ? Вроде бы, Postfix сам в себе никаких очередей не обрабатывает по tcp (хотя я Postfix не использую, могу что-то не знать), так что это какой-то клиент. А раз 127.0.0.1, то это совсем локальный клиент.

Кстати, netstat -apn покажет активные соединения и процессы. Судя по всему, их должно быть не мало...
Но это, конечно, если сервер не поломали до рута и не поменяли системные утилиты на такие, которые самое интересное не показывают.

[Skull]

Можно отключить все службы и посмотреть, что осталось открытым.

[eovchinnikov]

Приветствую всех. Прежде всего хочу поблагодарить за внимание и помощь всех откликнувшихся. Теперь по существу. Во-первых подозрительная активность прекратилась и до текущего момента не возобновляется. В какой-то степени даже жаль :) Все-таки это мой опыт по определению и решению проблем, пусть пока и с чужой помощью. Во-вторых, RootKit Hunter ничего не нашел, веб-сайта с формами нет, а отключение сервисов возможно после окончания рабочего дня (ночью займусь)

[asy]

Нашёл пару хостов с Postfix... Мда... До чего у Sendmail более понятный лог... В общем, надо попробовать погрепать лог по какому-нибудь E-Mail из from, например lyin123@dstsystems.com. Где-то там должен быть ID очереди, что-то похожее на E8E92ABE4002. Должна найтись какая-то строка вида

Sep  1 19:00:35 mail postfix/qmgr[5861]: 35EA3ABCC001: from=<lyin123@dstsystems.com>, size=nnnn, nrcpt=1 (queue active)

Далее надо погрепать по 35EA3ABCC001 и найти что-то вроде

Sep  1 19:00:34 mail postfix/smtpd[11727]: 35EA3ABCC001: client=unknown[10.1.1.1], ....

Вот этот IP будет адресом источника спама. А пересылка через localhost, похоже, используется в Postfix.