* [Sysadmins] что это может быть?
@ 2006-10-05 9:34 Grigory Fateyev
2006-10-05 10:45 ` Sergey
0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2006-10-05 9:34 UTC (permalink / raw)
To: sysadmins
Здравствуйте!
У меня на сервере резко возрос трафик исходящих писем, и началось с
таких писем [1], и очередь deffered postfix резко возросла. Такое
чувство что кто-то спамит через сервер. На сервере стоит много php
скриптов. Как вычислить что за скрипт спамит? И как лучше это
предотвратить?
Спасибо!
[1]
Transcript of session follows.
Out: 220 aaa.ru mail server
In: EHLO mx.uol.com.br
Out: 250-mail.aaa.ru
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH LOGIN PLAIN
Out: 250-AUTH=LOGIN PLAIN
Out: 250 8BITMIME
In: MAIL FROM:<> SIZE=9394 BODY=8BITMIME
Out: 250 Ok
In: RCPT TO:<www-data@aaa.ru>
Out: 451 <www-data@anastasia.ru>: Temporary lookup failure
In: DATA
Out: 554 Error: no valid recipients
In: RSET
Out: 250 Ok
In: QUIT
Out: 221 Bye
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2006/10/05 13:25
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] что это может быть?
2006-10-05 9:34 [Sysadmins] что это может быть? Grigory Fateyev
@ 2006-10-05 10:45 ` Sergey
2006-10-05 10:52 ` Sergey
2006-10-05 11:21 ` Grigory Fateyev
0 siblings, 2 replies; 12+ messages in thread
From: Sergey @ 2006-10-05 10:45 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Thursday 05 October 2006 14:34, Grigory Fateyev wrote:
> Как вычислить что за скрипт спамит? И как лучше это
> предотвратить?
подменить sendmail на что-то вроде
#!/usr/bin/perl
use Env;
my $date = `export LANG=C && date`;
chomp $date;
my $uid = $>;
my @info = getpwuid($uid);
system "logger -i -t spamcontrol '$date\: Directory\: $PWD\, info\: @info\, args\: @ARGV'";
my $mailprog = '/usr/sbin/sendmail.bla-bla-bla';
foreach (@ARGV) {
$arg="$arg" . " $_";
}
open (MAIL,"|$mailprog $arg") || die "cannot open $mailprog: $!n";
print MAIL "X-Abuse-MTA-Caller-Dir: running from $PWD\n";
print MAIL "X-Abuse-To:";
while (<STDIN>) {
print MAIL;
}
close (MAIL);
и на www.dedic.ru посмотреть примерно то же самое для php. Только оно что-то не
открывается. Вот ещё: http://www.lancs.ac.uk/~steveb/patches/php-mail-header-patch/
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] что это может быть?
2006-10-05 10:45 ` Sergey
@ 2006-10-05 10:52 ` Sergey
2006-10-05 11:21 ` Grigory Fateyev
1 sibling, 0 replies; 12+ messages in thread
From: Sergey @ 2006-10-05 10:52 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Thursday 05 October 2006 15:45, Sergey wrote:
> my $mailprog = '/usr/sbin/sendmail.bla-bla-bla';
Кстати о птицах. Вот это слабое место знет кто-нибудь, как побороть ?
На скрипте права должны быть 755, значит можно узнать настоящее имя
mailprog... У Постфикса, кстати, нет возможности в конфиге где-нибудь
про это сказать, чтобы дописал ?
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] что это может быть?
2006-10-05 10:45 ` Sergey
2006-10-05 10:52 ` Sergey
@ 2006-10-05 11:21 ` Grigory Fateyev
2006-10-05 11:51 ` Sergey
1 sibling, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2006-10-05 11:21 UTC (permalink / raw)
To: sysadmins
Hello Sergey!
On Thu, 5 Oct 2006 15:45:21 +0500 you wrote:
> On Thursday 05 October 2006 14:34, Grigory Fateyev wrote:
>
> > Как вычислить что за скрипт спамит? И как лучше это
> > предотвратить?
>
> подменить sendmail на что-то вроде
Это подсунуть этот файл вместо sendmail?
>
> my $mailprog = '/usr/sbin/sendmail.bla-bla-bla';
А здесь прописать путь до реального sendmail?
>
> и на www.dedic.ru посмотреть примерно то же самое для php. Только оно
> что-то не открывается.
И правда не открывается :(
> Вот ещё:
> http://www.lancs.ac.uk/~steveb/patches/php-mail-header-patch/
Надо наверно это и сделать ...
А вообще как этот скрипт работает?
Извините за тупые вопросы, но просто сервер боевой, экспериментов боюсь.
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2006/10/05 15:16
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] что это может быть?
2006-10-05 11:21 ` Grigory Fateyev
@ 2006-10-05 11:51 ` Sergey
2006-10-05 15:32 ` Grigory Fateyev
0 siblings, 1 reply; 12+ messages in thread
From: Sergey @ 2006-10-05 11:51 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Thursday 05 October 2006 16:21, Grigory Fateyev wrote:
> > подменить sendmail на что-то вроде
> Это подсунуть этот файл вместо sendmail?
Да.
> > my $mailprog = '/usr/sbin/sendmail.bla-bla-bla';
> А здесь прописать путь до реального sendmail?
Да.
> А вообще как этот скрипт работает?
Просто перехватывает вызов sendmail с командной строки, добавляет
свои строчки и скармливает настоящему sendmail.
Но это именно для тех, кто через вызов sendmail пытается послать.
На PHP-шные функции оно не влияет. Для PHP - то, что по ссылке.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] что это может быть?
2006-10-05 11:51 ` Sergey
@ 2006-10-05 15:32 ` Grigory Fateyev
2006-10-06 6:40 ` Sergey
0 siblings, 1 reply; 12+ messages in thread
From: Grigory Fateyev @ 2006-10-05 15:32 UTC (permalink / raw)
To: sysadmins
Hello Sergey!
On Thu, 5 Oct 2006 16:51:33 +0500 you wrote:
> Но это именно для тех, кто через вызов sendmail пытается послать.
> На PHP-шные функции оно не влияет. Для PHP - то, что по ссылке.
Вот пересобрал php4 с патчем, поставил, а как теперь письмо спамерское
перехватить чтоб заголовки посмотреть?
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2006/10/05 19:31
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] что это может быть?
2006-10-05 15:32 ` Grigory Fateyev
@ 2006-10-06 6:40 ` Sergey
2006-10-06 8:31 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть?) Aleksey Avdeev
0 siblings, 1 reply; 12+ messages in thread
From: Sergey @ 2006-10-06 6:40 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Thursday 05 October 2006 20:32, Grigory Fateyev wrote:
> > Но это именно для тех, кто через вызов sendmail пытается послать.
> > На PHP-шные функции оно не влияет. Для PHP - то, что по ссылке.
>
> Вот пересобрал php4 с патчем, поставил, а как теперь письмо спамерское
> перехватить чтоб заголовки посмотреть?
Теперь жалобы ждать. Или очередь сообщений анализировать. Можно копии
боунсов на постмастера зарулить (не знаю, как постфикс, а настоящий
sendmail умеет) и их смотреть - наверняка недоставленные через 4-5 часов
посыпятся.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть?)
2006-10-06 6:40 ` Sergey
@ 2006-10-06 8:31 ` Aleksey Avdeev
2006-10-06 8:37 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть? ) Serge Polkovnikov
2006-10-06 8:38 ` Vladimir V. Kamarzin
0 siblings, 2 replies; 12+ messages in thread
From: Aleksey Avdeev @ 2006-10-06 8:31 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 403 bytes --]
Sergey пишет:
> On Thursday 05 October 2006 20:32, Grigory Fateyev wrote:
>
> Можно копии
> боунсов на постмастера зарулить (не знаю, как постфикс, а настоящий
> sendmail умеет)
О! А как такое в postfix сделать?
PS: Если с вырезанием тела оригинального письма (на постмастера только
заголовки) -- будет совсем в тему. (Встала задача, такое сделать...)
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть? )
2006-10-06 8:31 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть?) Aleksey Avdeev
@ 2006-10-06 8:37 ` Serge Polkovnikov
2006-10-06 8:50 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix Aleksey Avdeev
2006-10-06 8:38 ` Vladimir V. Kamarzin
1 sibling, 1 reply; 12+ messages in thread
From: Serge Polkovnikov @ 2006-10-06 8:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Friday 06 October 2006 11:31, Aleksey Avdeev написав:
> Sergey пишет:
> > On Thursday 05 October 2006 20:32, Grigory Fateyev wrote:
> >
> > Можно копии
> > боунсов на постмастера зарулить (не знаю, как постфикс, а настоящий
> > sendmail умеет)
>
> О! А как такое в postfix сделать?
Добвить в main.cf что-то типа:
notify_classes = policy,protocol,resource,software,bounce,delay
>
> PS: Если с вырезанием тела оригинального письма (на постмастера только
> заголовки) -- будет совсем в тему. (Встала задача, такое сделать...)
--
С уважением,
Сергей Полковников
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] Q: Копии боунсов на постмастера в postfix
2006-10-06 8:31 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть?) Aleksey Avdeev
2006-10-06 8:37 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть? ) Serge Polkovnikov
@ 2006-10-06 8:38 ` Vladimir V. Kamarzin
2006-10-06 8:51 ` Aleksey Avdeev
1 sibling, 1 reply; 12+ messages in thread
From: Vladimir V. Kamarzin @ 2006-10-06 8:38 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 06 Oct 2006 at 14:31 "AA" == Aleksey Avdeev writes:
>> Можно копии
>> боунсов на постмастера зарулить (не знаю, как постфикс, а настоящий
>> sendmail умеет)
AA> О! А как такое в postfix сделать?
AA> PS: Если с вырезанием тела оригинального письма (на постмастера только
AA> заголовки) -- будет совсем в тему. (Встала задача, такое сделать...)
См. notify_classes, в частности bounce/2bounce
--
vvk
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] Q: Копии боунсов на постмастера в postfix
2006-10-06 8:37 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть? ) Serge Polkovnikov
@ 2006-10-06 8:50 ` Aleksey Avdeev
0 siblings, 0 replies; 12+ messages in thread
From: Aleksey Avdeev @ 2006-10-06 8:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 633 bytes --]
Serge Polkovnikov пишет:
> Friday 06 October 2006 11:31, Aleksey Avdeev написав:
>
>>Sergey пишет:
>>
>>>On Thursday 05 October 2006 20:32, Grigory Fateyev wrote:
>>>
>>>Можно копии
>>>боунсов на постмастера зарулить (не знаю, как постфикс, а настоящий
>>>sendmail умеет)
>>
>> О! А как такое в postfix сделать?
>
> Добвить в main.cf что-то типа:
> notify_classes = policy,protocol,resource,software,bounce,delay
>
>>PS: Если с вырезанием тела оригинального письма (на постмастера только
>>заголовки) -- будет совсем в тему. (Встала задача, такое сделать...)
OK, спасибо.
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] Q: Копии боунсов на постмастера в postfix
2006-10-06 8:38 ` Vladimir V. Kamarzin
@ 2006-10-06 8:51 ` Aleksey Avdeev
0 siblings, 0 replies; 12+ messages in thread
From: Aleksey Avdeev @ 2006-10-06 8:51 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 530 bytes --]
Vladimir V. Kamarzin пишет:
>>>>>>On 06 Oct 2006 at 14:31 "AA" == Aleksey Avdeev writes:
>
>
>>>Можно копии
>>>боунсов на постмастера зарулить (не знаю, как постфикс, а настоящий
>>>sendmail умеет)
>
>
> AA> О! А как такое в postfix сделать?
>
> AA> PS: Если с вырезанием тела оригинального письма (на постмастера только
> AA> заголовки) -- будет совсем в тему. (Встала задача, такое сделать...)
>
> См. notify_classes, в частности bounce/2bounce
>
OK, Спасибо.
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2006-10-06 8:51 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-10-05 9:34 [Sysadmins] что это может быть? Grigory Fateyev
2006-10-05 10:45 ` Sergey
2006-10-05 10:52 ` Sergey
2006-10-05 11:21 ` Grigory Fateyev
2006-10-05 11:51 ` Sergey
2006-10-05 15:32 ` Grigory Fateyev
2006-10-06 6:40 ` Sergey
2006-10-06 8:31 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть?) Aleksey Avdeev
2006-10-06 8:37 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix (was: что это может быть? ) Serge Polkovnikov
2006-10-06 8:50 ` [Sysadmins] Q: Копии боунсов на постмастера в postfix Aleksey Avdeev
2006-10-06 8:38 ` Vladimir V. Kamarzin
2006-10-06 8:51 ` Aleksey Avdeev
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git