Що робити коли Вас “зламали” і відправляють спам на сервері Zimbra 8.8.10

Як все починалось

Всім доброго дня!..

Ранок сьогодні задався…) 

Все було чудово приїхав раніше на роботу, щоб без пробок, ранкова кава з МакДональдз з вишневим пиріжком, розбір паперів, пошти, чергових завдань\проєктів… 9 година, дзвінки про те що пошта не працює… хм зайшли, вебсторінка відповідає начебто все ок. Дзвінки почастішали… почули щось недобре… Виявилося, що не ходять листи ні вхідні, ні вихідні, ні всередині, ні назовні. 

Почали шукати… довго билися, тому що вперше зіткнулися з тим, що поштовий сервер сам відправляє від себе листи…

Від практики до дій

По логах спостерігаємо:

Feb 13 11:01:08 mail postfix/qmgr[33224]: 12A1B525279: from=<[email protected]>, size=2094, nrcpt=20 (queue active)

Feb 13 11:01:08 mail postfix/smtp[55674]: 5BB4178A532: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10032, conn_use=6, delay=3075, delays=3073/0.17/0/1.2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as E5FA15B8119)

Feb 13 11:01:08 mail postfix/smtp[55674]: 5BB4178A532: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10032, conn_use=6, delay=3075, delays=3073/0.17/0/1.2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as E5FA15B8119)

Такого домену у нас звичайно немає, та й адресатів по 20 штук… і таких листів виявилося по 200 тис.

Може для когось це і не нове і всі давно про це знають, але в ситуації коли пошта не ходить, а в тебе 1500 облікових записів це критично і тому для себе збережу, чи мало, на майбутнє. 

Листи наших доменів не ходили… Версія zimbra на момент написання статті була встановлена ​​останньою Release 8.8.10…

Вирішувалося це у нашому випадку наступним чином.

Виявилося, що зловмисники отримали доступ до логіну і паролю від кількох облікових записів і від них накидали купу листів на відправлення.

Використовуючи поточний чи архівний, а краще і той і той журнал подій за допомогою команди:

 cat /var/log/zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -nr

Отримуємо найбільш часті входи в облікові записи за спаданням:

[root@mail tmp]# cat /var/log/zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq-c | sort -nr

    6802 [email protected]

    340 [email protected]

    307 [email protected]

    136 [email protected]

     16 [email protected]

     13 [email protected]

Цифра спереду означає кількість входів

Звідси відразу ясно що поламаний ящик test1, терміново блокуємо обліковий запис і міняємо пароль, відключаємо ПК від мережі з якого проводиться вхід на випадок кейлоґґерів і перевстановлюємо там для спокою Windows.

Робимо аналогічно з рештою облікових записів до яких є підозра.

Далі потрібно очистити весь цей шлак

У нашому випадку пощастило, що все йшло від одного відправника! З метою доставлення і відправлення реальних листів нам треба видалити з черги всі спам листи.

postqueue-p | tail-n+2 | awk 'BEGIN { RS = "" } /test1@example\.com/ { print $1 }' | tr -d '*!' > /tmp/mailmail

Цією командою ми зберігаємо всі ID листів у черзі від відправника [email protected]

Далі пишемо такий скрипт для того, щоб було легше очищати спам

#!/bin/bash

idlist=`cat /tmp/mailmail`

for $a in $idlist

    do

        /opt/zimbra/common/sbin/postsuper -d $a

    done

Очікуємо завершення процесу видалення листів з черг)

Перезавантажуємо сервер для того, щоб його «відпустило» і насолоджуємось робочою поштою)

Якщо помітили помилки чи неточності, будь ласка, залишіть коментар чи напишіть листа на поштову адресу [email protected]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *