Courier smtp spam

[secretman]

Su un server ho un problema di spam enorme da parte di server esterni che non so come riescono a usare l' smtp di courier presente sul mio server.
Ho dovuto bloccarlo, perchè c' era davvero un fiume in piena di spam email
che riuscivano anche a mandare in overload la cpu.

Qualcuno sa come fare a impedire al 100% che l' smtp di courier venga usato
da server esterni? In teoria vorrei che venisse usato solo dal sendmail del php. Sembra già settato così, perchè se provo dal mio pc a inviare un' email
usando l' smtp del server, appare 513 Relaying denied.

Il fiume di email non arriva dal sendmail di script php sul server, perchè li ho oscurati per qualche tempo e il fiume di spam non è cessato.

[EvolutionCrazy]

non ricevi email su quel server? spedisci solo?

[secretman]

Ne ricevo anche, e il pop3 non ha problemi.

[Alex]

sei sicuro non sia un open relay?

[secretman]

Ho controllato e hanno installato qualche virus sul server che invia le email da nobody@servername.com e vengono sempre accettate senza nessun relay denied.
Ho anche provato a impedire l' invio anche da localhost, ma è inutile.
Chissà dove hanno messo il virus.

[Alex]

hai capito come sono entrati?

[secretman]

Si, da uno script php hanno caricato un file shell e sono andati in giro per il server per fare danni.
Ora ho protetto tutto per bene usando come verifica il file che si sono dimenticati sul server.
Sono anche tonti questi lamer da 2 soldi.
Non ci potranno più riuscire.

[Uno]

Loro saranno da due soldi, ma tu non ne salti fuori ancora, forse se ne sono fregati di fare lavori puliti

Per ordine, hai controllato i processi attivi?
Hai provato a disinstallare l'smtp (che usi? Postifix?) salvando prima i file di configurazione, cancellandoli dal server completamente e poi reinstallare il tutto pulito?
Per quello che ne sappiamo possono avere installato una versione modificata del programma.... in ogni caso male non fa, se non perdere 10 minuti.

I log al momento del fattaccio, erano puliti? Se lo erano, non erano poi così da 2 soldi...

[EvolutionCrazy]

Si, da uno script php hanno caricato un file shell e sono andati in giro per il server per fare danni.
Ora ho protetto tutto per bene usando come verifica il file che si sono dimenticati sul server.
Sono anche tonti questi lamer da 2 soldi.
Non ci potranno più riuscire.

da farci un quadro co sta frase -_-'

spero tu abbia reinstallato il server ... c'e' gia' fin troppo spam in giro....

[secretman]

Non hai letto bene su. Usa courieresmtp. Ho già provato a dinistallarlo e reinstallarlo, ma senza cancellare i file di configurazione. Ora vedrò bene che cosa lascia dopo la disinstallazione e vedrò anche se cancellando tutti i file residui riuscirò a risolvere senza formattare.

[Uno]

Ma come l'smtp di courier ?
L'smtp è Postfix, Exim, Sendmail etc...

[secretman]

Il processo che usano per spammare si chiama courieresmtp.

[secretman]

Ci sono riuscito. L' ho disinstallato, ho cancellato ogni residuo, comprese le librerie, l' ho reinstallato, ho rimesso le librerie prese da un server sano e ora gli spammer si beccano in continuazione 513 Relaying denied.

[Valeriano Manassero]

Forse l'ho già detto un milione di volte, forse solo qualche centinaia non ricordo.
Macchina forata
Macchina formattata
Macchina reinstallata

Non c'è altra via *MAI*.
Tutto il lavoro di vedere processi e log non serve a nulla se hanno avuto libero accesso alla macchina, potresti avere di tutto sopra in questo momento e non saperlo perchè niente viene passato ai log.
Un rootkit fatto ad arte è la prima cosa che mi viene in mente, per non parlare di eseguibili iniettati che ti restituiscono X quando in realtà ti stanno mascherando Y.

Proseguendo come stai facendo ora, stai facendo il loro gioco perchè il fatto che siano lamer da due soldi è una tua personalissima convinzione, può essere vero, può essere falso e magari te ne accorgi fra un anno (o forse mai).

[Shazan]

Ti consiglio almeno di installare rkhunter che, oltre a fare il check dei rootkit più diffusi, verifica l'hash dei comandi di sistema. In questo modo puoi almeno avere qualche indizio sulla loro integrità.

Non è la soluzione ma almeno hai qualche informazioni in più sullo stato del sistema.