Spam passando pelo apache

1. Spam passando pelo apache

Estefanio Brunhara
stefaniobrunhara

(usa CentOS)

Enviado em 18/10/2013 - 13:31h

Estou com um sevidor com problema de spam, este servidor esta com o mandriva 2010.1, abri o tópico como sendo problema do apache mas posso estar enganado.





Neste servidor que estou tendo o problema, tenho apenas 2 domínios hospedado, ambos eu removi o fale conosco, porque não tinha o mecanismo captcha, e mesmo assim o spamer ainda consegue enviar email usando o usuário apache. "acho"

Então tentei localizar pelos log do postfix, quem estava enviando os email em massa. Encontrei o info@mail.com

Como eu não vi o usuário logar no postfix, eu percebi que o primeiro log da mensagem do spam era

Oct 17 12:34:40 ns1 postfix/pickup[946]: C2740DE6720: uid=485 from=<info@mail.com>

Então para saber quem é o uid=485

vim /etc/passwd

apache:x:485:419:system user for php:/var/www:/bin/sh

Será que vou ter que desativar o squirrelmail também?

Log

Oct 17 12:34:40 ns1 postfix/pickup[946]: C2740DE6720: uid=485 from=<info@mail.com>
Oct 17 12:34:40 ns1 postfix/cleanup[1784]: C2740DE6720: message-id=<6bdda63cbf64dd4af871fbe988f75dbd.squirrel@mail.xxxxx.com.br>
Oct 17 12:34:40 ns1 opendkim[1605]: C2740DE6720: no signing table match for 'info@mail.com'
Oct 17 12:34:43 ns1 opendkim[1605]: C2740DE6720: no signature data
Oct 17 12:34:43 ns1 postfix/qmgr[10947]: C2740DE6720: from=<info@mail.com>, size=2399, nrcpt=5 (queue active)
Oct 17 12:34:48 ns1 postfix/smtp[1363]: C2740DE6720: to=<kekecousin@hotmail.com>, relay=mx2.hotmail.com[65.54.188.110]:25, delay=7.4, delays=3/0.09/2.5/1.8, dsn=2.0.0, status=sent (250 <6bdda63cbf64dd4af871fbe988f75dbd.squirrel@mail.xxxxx.com.br> Queued mail for delivery)
Oct 17 12:34:49 ns1 postfix/smtp[1361]: C2740DE6720: to=<kekecousin@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.68.27]:25, delay=8.6, delays=3/0.09/3/2.5, dsn=2.0.0, status=sent (250 2.0.0 OK 1382023412 hi8si38531442qeb.18 - gsmtp)
Oct 17 12:34:50 ns1 postfix/smtp[1367]: C2740DE6720: to=<tr.rbc@helixnet.cn>, relay=1881869856.pamx1.hotmail.com[65.54.188.109]:25, delay=9.7, delays=3/0.09/4.8/1.9, dsn=2.0.0, status=sent (250 <6bdda63cbf64dd4af871fbe988f75dbd.squirrel@mail.xxxxx.com.br> Queued mail for delivery)
Oct 17 12:34:52 ns1 postfix/smtp[1816]: C2740DE6720: to=<osas145@yahoo.com>, relay=mta6.am0.yahoodns.net[98.136.216.25]:25, delay=11, delays=3/0.09/6/2.4, dsn=2.0.0, status=sent (250 ok dirdel)
Oct 17 12:34:56 ns1 postfix/smtp[1373]: C2740DE6720: to=<project_files@qq.com>, relay=mx3.qq.com[64.71.138.84]:25, delay=16, delays=3/0.09/8.6/4, dsn=5.0.0, status=bounced (host mx3.qq.com[64.71.138.84] said: 550 Mail content denied. http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000726 (in reply to end of DATA command))
Oct 17 12:34:56 ns1 postfix/bounce[1701]: C2740DE6720: sender non-delivery notification: 74A9ADE66F8
Oct 17 12:34:56 ns1 postfix/qmgr[10947]: C2740DE6720: removed

Também notei no /tmp os seguinte arquivos


# l /tmp/core.*
-rw------- 1 apache apache 59400192 2013-10-17 09:37 /tmp/core.11246
-rw------- 1 apache apache 65040384 2013-10-14 11:00 /tmp/core.1478
-rw------- 1 apache apache 56991744 2013-10-11 12:09 /tmp/core.15379
-rw------- 1 apache apache 55439360 2013-10-08 15:26 /tmp/core.17680
-rw------- 1 apache apache 55504896 2013-10-11 08:29 /tmp/core.21383
-rw------- 1 apache apache 67567616 2013-10-14 13:24 /tmp/core.23624
-rw------- 1 apache apache 56532992 2013-10-18 11:25 /tmp/core.27379
-rw------- 1 apache apache 56451072 2013-10-10 19:06 /tmp/core.28742
-rw------- 1 apache apache 64409600 2013-10-16 16:08 /tmp/core.29317
-rw------- 1 apache apache 61468672 2013-10-08 09:08 /tmp/core.2963
-rw------- 1 apache apache 57032704 2013-10-08 17:01 /tmp/core.31215
-rw------- 1 apache apache 56164352 2013-10-09 16:33 /tmp/core.5373
-rw------- 1 apache apache 57610240 2013-10-16 12:38 /tmp/core.676
-rw------- 1 apache apache 57020416 2013-10-10 13:50 /tmp/core.7586
-rw------- 1 apache apache 56225792 2013-10-16 14:13 /tmp/core.8716
-rw------- 1 apache apache 59064320 2013-10-16 13:30 /tmp/core.8717
-rw------- 1 apache apache 56483840 2013-10-16 13:21 /tmp/core.9291


Alguém poderia me ajudar a encontrar a falha?




  


2. Re: Spam passando pelo apache

Estefanio Brunhara
stefaniobrunhara

(usa CentOS)

Enviado em 20/10/2013 - 09:39h

Estou usando as seguinte versões:






Server version: Apache/2.2.15 (Mandriva Linux/PREFORK-3.1mdv2010.1)
Server built: Aug 16 2010 10:28:37

SquirrelMail versão 1.4.20

Connected to 127.0.0.1.
Escape character is '^]'.
220 ns1.xxxx.com.br ESMTP Postfix (2.7.0) (Mandriva Linux)



3. Re: Spam passando pelo apache

Estefanio Brunhara
stefaniobrunhara

(usa CentOS)

Enviado em 21/10/2013 - 15:34h

Este final de semana, o squirrelmail ficou desativado para acesso externo, não ocorreu spam, então estou concluído que ele estava usando o
squirrelmail, hoje fiz uma atualização do squirrelmail das três opções esta é a mais facil, vamos ver ser isto já resolver, caso contrario vou ter que migrar o servidor.



4. Re: Spam passando pelo apache

Estefanio Brunhara
stefaniobrunhara

(usa CentOS)

Enviado em 23/10/2013 - 12:12h

Depois da atualização do squirrelmail, não tive mais problema com o spammer, não sei se é cedo de mais para afirmar, mas fica ai a dica para quem estiver com o mesmo problema.

Eu não instalei todos os pluguins do squirrelmail ainda, para não gerar mais de um ponto de duvida, então se for o caso eu volto aqui para confirmar se o problema não ocorreu com os plug-ins do squirrelmail.







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts