Topic: Invio massivo di email da local

[orsomannaro]

Ho un invio anomalo di posta per cui il mio provider ha bloccato il server SMTP.

Ho installato awstats e in effetti risultano migliaia di email inviate.

Non sono pratico di  awstats, ma sembra che l'utente "anonymous" abbia oggi inviato centinaia di email da localhost verso "" (cioe' nessuno?)!


Cosa puo' essere??

[Stefano]

lascia perdere awstats, connettiti in console come root e dai

Code: [Select]

tail -f  /var/log/qmail/current | tai64nlocal

nel frattempo, qui, ci dici cosa fa quel server, quanti client dietro e con che S.O., cosa gira sul server e a che stato di aggiornamento è..

scommetto 25€c che hai un client con un rootkit/sarcazzo che spara spam a 1000 o una applicazione web bucata..

ah.. staccherei anche il cavo di rete verso wan del server...

[orsomannaro]

lascia perdere awstats

dici che non e' affidabile?

connettiti in console come root e dai
tail -f  /var/log/qmail/current | tai64nlocal

Code: [Select]

2011-07-11 17:03:29.909898500 starting delivery 488280: msg 4651507 to remote johnsuccess@37.com
2011-07-11 17:03:29.909899500 status: local 0/10 remote 6/20
2011-07-11 17:03:29.910376500 delivery 488275: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.910378500 status: local 0/10 remote 5/20
2011-07-11 17:03:29.910439500 starting delivery 488281: msg 4651499 to remote jaynixx77@gmail.com
2011-07-11 17:03:29.910440500 status: local 0/10 remote 6/20
2011-07-11 17:03:29.910927500 delivery 488276: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.910929500 status: local 0/10 remote 5/20
2011-07-11 17:03:29.910988500 starting delivery 488282: msg 4651506 to remote hque1@jhu.edu
2011-07-11 17:03:29.910989500 status: local 0/10 remote 6/20
2011-07-11 17:03:29.911462500 delivery 488277: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.911464500 status: local 0/10 remote 5/20
2011-07-11 17:03:29.911524500 starting delivery 488283: msg 4651498 to remote jayku.san@gmail.com
2011-07-11 17:03:29.911526500 status: local 0/10 remote 6/20
2011-07-11 17:03:29.911993500 delivery 488278: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.911995500 status: local 0/10 remote 5/20
2011-07-11 17:03:29.912054500 starting delivery 488284: msg 4651508 to remote johntes@bigpond.net.au
2011-07-11 17:03:29.912056500 status: local 0/10 remote 6/20
2011-07-11 17:03:29.912542500 delivery 488279: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.912543500 status: local 0/10 remote 5/20
2011-07-11 17:03:29.913043500 delivery 488280: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.913045500 status: local 0/10 remote 4/20
2011-07-11 17:03:29.913551500 delivery 488281: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.913552500 status: local 0/10 remote 3/20
2011-07-11 17:03:29.913603500 delivery 488282: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.913605500 status: local 0/10 remote 2/20
2011-07-11 17:03:29.914048500 delivery 488283: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.914050500 status: local 0/10 remote 1/20
2011-07-11 17:03:29.914082500 delivery 488284: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
2011-07-11 17:03:29.914084500 status: local 0/10 remote 0/20


dici cosa fa quel server, quanti client dietro e con che S.O., cosa gira sul server e a che stato di aggiornamento è..

il server gestisce la connessione internet, la posta elettronica e i backup con backuppc
c'e' pure installato (ma mai usato) il contrib per la gestione di Asterisk ("Telephony")
poi ci sono sarg e awstats

in LAN ci sono tre winXP, 2 mac e 1 ubuntu
poi un paio di netbook e un paio di smartphone sono configurati per inviare la posta con lo sme-server

lo sme-server era aggiornato a un paio di mesi fa; ora sto installando gli ultimi aggiornamenti

scommetto 25€c che hai un client con un rootkit/sarcazzo che spara spam a 1000 o una applicazione web bucata..

ah.. staccherei anche il cavo di rete verso wan del server...

applicazioni web non ce ne sono, fatta eccezione per horde

ho provato a far spegnare tutti i pc, ma i log di 'tail -f  /var/log/qmail/current | tai64nlocal' sopra riportati continuavano ad andare...



Ti ringrazio

[orsomannaro]

Ho capito che i messaggi continuavano ad andare perhce' erano gia' nella cosa di qmail.
Ora ho svuotato la coda, ma vorrei capire chi inviava (o inviera'...)

Le statistiche sui mittenti di sme-server dicono:


mess    bytes   sbytes   rbytes  recips  tries     xdelay  sender

  28    16407    16407    16407      28     28   2,000000  0/<anonymous@dominio.mio>
   2      894      894      894       2      2   2,000000  0/<root@dominio.mio>

   1    16274    16274    16274       1      1   0,000000  400/<indirizzo@dominio.altro>
   1     1835     1835     1835       1      1   0,000000  400/<indirizzo@dominio.altro>
   1    22703    22703    22703       1      1   0,000000  400/<indirizzo@dominio.altro
   1     2389     2389     2389       1      1   0,000000  400/<indirizzo@dominio.altro>
   1     2858     2858     2858       1      1   0,000000  400/<indirizzo@dominio.altro>
   1     6241     6241     6241       1      1   0,000000  400/<indirizzo@dominio.altro>

   2     1156     1156     1156       2      2   4,000000  400/<root@dominio.mio>

   2    13315    13315    13315       2      2   0,000000  400/<indirizzo@dominio.mio>
   2  2908669  2908669  2908669       2      2   0,000000  400/<indirizzo@dominio.altro>
   2     3866     3866     3866       2      2   0,000000  400/indirizzo@dominio.altro>

  26    95350    95350    95350      26     26   0,000000  400/<#@[]>
  28    19761    19761    19761      28     28   2,000000  400/<anonymous@dominio.mio>
  26    76222        0    76222      26     26  11,000000  406/<>
  26    92085    92085    92085      26     26   0,000000  406/<#@[]>

   1    16154    16154    16154       1      1   0,000000  453/<indirizzo@dominio.altro>
   1     1696     1696     1696       1      1   0,000000  453/<indirizzo@dominio.altro>
   1     1710     1710     1710       1      1   0,000000  453/<indirizzo@dominio.altro>
   1    22583    22583    22583       1      1   0,000000  453/<indirizzo@dominio.altro>
   1     2270     2270     2270       1      1   0,000000  453/<indirizzo@dominio.altro>
   1     2738     2738     2738       1      1   0,000000  453/<indirizzo@dominio.altro>
   1     6116     6116     6116       1      1   0,000000  453/<indirizzo@dominio.altro>
   1     6405     6405     6405       1      1   1,000000  453/<indirizzo@dominio.mio>
   2  2908419  2908419  2908419       2      2   1,000000  453/<indirizzo@dominio.altro>
   3    36148    36148    36148       3     11  66,000000  453/<indirizzo@dominio.altro>
   1     1928     1928     1928       1      1   0,000000  5000/<indirizzo@dominio.altro>
   1     6657     6657     6657       1      1   0,000000  5009/<indirizzo@dominio.mio>

[Stefano]

beh..

se con i client spenti tutto tace...

accendi un client alla volta, attendendo un 5 minuti tra una accensione ed un'altra, e continua a monitorare quel log.