Як все починалось
Всім доброго дня!..
Ранок сьогодні задався…)
Все було чудово приїхав раніше на роботу, щоб без пробок, ранкова кава з МакДональдз з вишневим пиріжком, розбір паперів, пошти, чергових завдань\проєктів… 9 година, дзвінки про те що пошта не працює… хм зайшли, вебсторінка відповідає начебто все ок. Дзвінки почастішали… почули щось недобре… Виявилося, що не ходять листи ні вхідні, ні вихідні, ні всередині, ні назовні.
Почали шукати… довго билися, тому що вперше зіткнулися з тим, що поштовий сервер сам відправляє від себе листи…
Від практики до дій
По логах спостерігаємо:
Feb 13 11:01:08 mail postfix/qmgr[33224]: 12A1B525279: from=<[email protected]>, size=2094, nrcpt=20 (queue active) Feb 13 11:01:08 mail postfix/smtp[55674]: 5BB4178A532: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10032, conn_use=6, delay=3075, delays=3073/0.17/0/1.2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as E5FA15B8119) Feb 13 11:01:08 mail postfix/smtp[55674]: 5BB4178A532: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10032, conn_use=6, delay=3075, delays=3073/0.17/0/1.2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as E5FA15B8119)
Такого домену у нас звичайно немає, та й адресатів по 20 штук… і таких листів виявилося по 200 тис.
Може для когось це і не нове і всі давно про це знають, але в ситуації коли пошта не ходить, а в тебе 1500 облікових записів це критично і тому для себе збережу, чи мало, на майбутнє.
Листи наших доменів не ходили… Версія zimbra на момент написання статті була встановлена останньою Release 8.8.10…
Вирішувалося це у нашому випадку наступним чином.
Виявилося, що зловмисники отримали доступ до логіну і паролю від кількох облікових записів і від них накидали купу листів на відправлення.
Використовуючи поточний чи архівний, а краще і той і той журнал подій за допомогою команди:
cat /var/log/zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -nrОтримуємо найбільш часті входи в облікові записи за спаданням:
[root@mail tmp]# cat /var/log/zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq-c | sort -nr
6802 [email protected]
340 [email protected]
307 [email protected]
136 [email protected]
16 [email protected]
13 [email protected]Цифра спереду означає кількість входів
Звідси відразу ясно що поламаний ящик test1, терміново блокуємо обліковий запис і міняємо пароль, відключаємо ПК від мережі з якого проводиться вхід на випадок кейлоґґерів і перевстановлюємо там для спокою Windows.
Робимо аналогічно з рештою облікових записів до яких є підозра.
Далі потрібно очистити весь цей шлак
У нашому випадку пощастило, що все йшло від одного відправника! З метою доставлення і відправлення реальних листів нам треба видалити з черги всі спам листи.
postqueue-p | tail-n+2 | awk 'BEGIN { RS = "" } /test1@example\.com/ { print $1 }' | tr -d '*!' > /tmp/mailmailЦією командою ми зберігаємо всі ID листів у черзі від відправника [email protected]
Далі пишемо такий скрипт для того, щоб було легше очищати спам
#!/bin/bash
idlist=`cat /tmp/mailmail`
for $a in $idlist
do
/opt/zimbra/common/sbin/postsuper -d $a
doneОчікуємо завершення процесу видалення листів з черг)
Перезавантажуємо сервер для того, щоб його «відпустило» і насолоджуємось робочою поштою)
Якщо помітили помилки чи неточності, будь ласка, залишіть коментар чи напишіть листа на поштову адресу [email protected]