Я нашел следующие записи в mail.info, но никто не зарегистрирован. Clamscan ничего не находят. Как я могу найти то, что это и как я могу остановить это?
26 октября 11:30:03 smtp postfix/smtpd [21749]: подключение от localhost [127.0.0.1]
26 октября 11:30:03 smtp postfix/smtpd [21749]: предупреждение: valid_hostname: числовое имя хоста: 95.140.39.1010 26 октября 11:30:03 smtp postfix/smtpd [21749]: предупреждение: уродливое доменное имя в данных ресурсов MX записывает для phpwzym.com: 95.140.39.1010
26 октября 11:30:03 smtp postfix/smtpd [21749]: NOQUEUE: отклонение: ПРИЕМ от localhost [127.0.0.1]: 450 4.1.8: адрес Отправителя отклонил: Уродливый ответ сервера DNS; от = до = proto=ESMTP привет =
26 октября 11:30:03 smtp postfix/smtpd [21749]: разъединение от localhost [127.0.0.1]
Спасибо Michl
Взломщик приезжает от
xxx@yyy ~ $ host phpwzym.com
phpwzym.com has address 95.140.38.3
phpwzym.com mail is handled by 10 95.140.39.1010.
xxx@yyy ~ $ whois 95.140.38.3
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '95.140.38.0 - 95.140.38.255'
% Abuse contact for '95.140.38.0 - 95.140.38.255' is 'abuse@szervernet.hu'
inetnum: 95.140.38.0 - 95.140.38.255
netname: TERATRADE-NET
descr: VPS SERVERS
country: HU
admin-c: TK6395-RIPE
tech-c: TK6395-RIPE
status: ASSIGNED PA
mnt-by: KGY-MNT
mnt-by: TK6395-MNT
mnt-routes: TK6395-MNT
created: 2015-03-10T11:12:04Z
last-modified: 2015-05-21T19:34:36Z
source: RIPE # Filtered
role: Teratrade Kft
address: Hungary
address: 1123 Budapest
address: Nagyt�t�nyi �t 190.
phone: +36303654560
abuse-mailbox: abuse@edm-campaigns.com
nic-hdl: TK6395-RIPE
mnt-by: TK6395-MNT
created: 2015-03-12T16:01:42Z
last-modified: 2015-03-17T14:48:56Z
source: RIPE # Filtered
Teratrade
, также позволяют создание поддельных записей DNS
phpwzym.com mail is handled by 10 95.140.39.1010.
С Вашим брандмауэром, можно блокировать доступ от этого host
, или от этого network
UFW
sudo ufw enable
# for host
sudo ufw deny from 95.140.39.xxx
# for network
sudo ufw deny from 95.140.39.xxx/24
# allow all other to connect on port 25 aka smtp port
sudo ufw allow 25
# allow other port's
sudo ufw allow 110 # pop3 port
sudo ufw allow xxx # for xxx port
Вы не видите теперь соединения, потому что почта находится в очереди и ожидает доставки.
Команда пустой очереди в постфиксе
sudo postsuper -d ALL