Mon serveur postfix est un zombie

xps · Février 21, 2016, 2:46pm

bonjour à tous.

avant de vous expliquer mon problème je doit poser le contexte.

je suis arrivé récemment dans une entreprise et notre serveur de mail envoie des spams à tous va…

le problème principale pour pouvoir arrêter tous ça :

serveur non mis à jour depuis 4 ans. 2.6.27.10-grsec-xxxx-grs-ipv4-32 #6 SMP Fri Aug 14 10:23:47 UTC 2009 i686 GNU/Linux

serveur postfix pris dans les dépôts de la sarge : deb debian.home-dn.net/sarge postfix-vda/

je sait que c’est suicidaire… de plus il héberge notre crm, site web et gestionnaire de source windev.

je suis en train de faire comprendre à ma direction qu’il faut tout refaire mais en attendant je ne peut me permettre de laissé mon serveur spammer tout le monde en utilisant mes noms de domaines.

je ne connais pas spécialement postfix ce qui ne facilite pas mon débugage…

test fait :

[code]ps aux | grep “postfix”

root 12333 0.1 0.0 5620 1800 ? postfix 12334 0.1 0.0 5632 1780 ? postfix 12335 3.1 0.6 32320 28536 ? postfix 12410 0.0 0.0 5628 1792 ? postfix 12485 0.0 0.0 5628 1816 ? postfix 17393 0.0 0.0 5632 1788 ? postfix 23430 0.2 0.0 8388 3164 ? postfix 29130 0.0 0.1 11620 4236 ? postfix 29201 0.0 0.0 5792 2120 ? postfix 29266 0.0 0.0 5792 2120 ? postfix 29267 0.0 0.0 5792 2120 ? postfix 29455 0.0 0.0 5792 2124 ? postfix 29475 0.0 0.0 5792 2128 ? postfix 29477 0.0 0.0 5792 2128 ? postfix 29484 0.0 0.0 5792 2120 ? postfix 29491 0.0 0.0 5628 1736 ? postfix 29611 0.0 0.0 11484 3760 ? postfix 29650 0.0 0.0 5828 2400 ? postfix 29673 0.0 0.0 5792 2120 ? postfix 29735 0.0 0.0 5656 1840 ? postfix 29918 0.0 0.1 11744 4208 ? postfix 30148 0.0 0.0 5656 1840 ? postfix 30153 0.0 0.0 5792 2120 ? postfix 30166 0.0 0.0 5656 1840 ? postfix 30168 0.0 0.0 5828 2400 ? postfix 30170 0.0 0.0 5792 2120 ? postfix 30222 1.0 0.0 8188 2680 ? postfix 30223 0.2 0.0 5624 1792 ? postfix 30224 0.8 0.0 8188 2680 ? postfix 30226 0.7 0.0 8188 2696 ? postfix 30227 0.5 0.0 5656 1768 ? postfix 30228 0.5 0.0 5656 1768 ? postfix 30229 0.3 0.0 5656 1768 ? postfix 30230 0.0 0.0 5624 1792 ? postfix 30231 0.3 0.0 5656 1768 ? postfix 30232 0.6 0.0 5656 1768 ? postfix 30233 0.3 0.0 5656 1768 ? postfix 30234 0.0 0.0 5624 1792 ? postfix 30235 0.0 0.0 5624 1792 ? postfix 30236 0.0 0.0 5624 1792 ? postfix 30237 0.0 0.0 5624 1792 ? postfix 30238 0.0 0.0 5624 1792 ? postfix 30239 0.0 0.0 5624 1792 ? postfix 30240 0.0 0.0 5656 1768 ? postfix 30241 0.0 0.0 5656 1768 ? postfix 30242 0.0 0.0 5624 1792 ? postfix 30243 0.0 0.0 5624 1792 ? postfix 30244 0.0 0.0 5656 1768 ? root 30246 0.0 0.0 3612 712 pts/0 [/code] Ss May02 1:23 /usr/lib/postfix/master
D May02 1:09 pickup -l -t fifo -u -c
D May02 34:16 qmgr -l -t fifo -u
Ss May02 0:00 verify -l -t unix -u -c
S May02 0:24 scache -l -t unix -u -c
S 10:00 0:00 anvil -l -t unix -u -c
S 08:49 0:15 trivial-rewrite -n rewrite -t unix -u -c
S 10:31 0:00 smtpd -n smtp -t inet -u -o stress
S 10:32 0:00 smtp -t unix -u -c
S 10:33 0:00 smtp -t unix -u -c
S 10:33 0:00 smtp -t unix -u -c
S 10:36 0:00 smtp -t unix -u -c
S 10:36 0:00 smtp -t unix -u -c
S 10:36 0:00 smtp -t unix -u -c
S 10:36 0:00 smtp -t unix -u -c
S 10:36 0:00 proxymap -t unix -u
S 10:37 0:00 smtpd -n smtp -t inet -u -o stress
S 10:37 0:00 local -t unix
S 10:37 0:00 smtp -t unix -u -c
S 10:38 0:00 bounce -z -t unix -u -c
S 10:39 0:00 smtpd -n smtp -t inet -u -o stress
S 10:40 0:00 bounce -z -t unix -u -c
S 10:40 0:00 smtp -t unix -u -c
S 10:40 0:00 bounce -z -t unix -u -c
S 10:40 0:00 local -t unix
S 10:40 0:00 smtp -t unix -u -c
S 10:41 0:00 cleanup -z -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
S 10:41 0:00 cleanup -z -t unix -u -c
S 10:41 0:00 cleanup -z -t unix -u -c
S 10:41 0:00 bounce -z -n defer -t unix -u -c
S 10:41 0:00 bounce -z -n defer -t unix -u -c
S 10:41 0:00 bounce -z -n defer -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
R 10:41 0:00 bounce -z -n defer -t unix -u -c
S 10:41 0:00 bounce -z -n defer -t unix -u -c
S 10:41 0:00 bounce -z -n defer -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
S 10:41 0:00 bounce -z -n defer -t unix -u -c
R 10:41 0:00 bounce -z -n defer -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
S 10:41 0:00 error -n retry -t unix -u -c
S 10:41 0:00 bounce -z -n defer -t unix -u -c
S+ 10:41 0:00 grep postfix

[code]postqueue -p

CFD7F22A48CB 6683 Fri May 3 09:14:05 www-data
smemills25@aol.com

D2C5622A48D6 6676 Fri May 3 09:14:07 www-data
tssei@bellsouth.com

D267D22A48CC 6702 Fri May 3 09:14:05 www-data
ttanner@seacottage.com

7D20422A48CE 6726 Fri May 3 09:14:07 www-data
tsouter@cox-internet.com

9978922A48CF 6746 Fri May 3 09:14:07 www-data
betty.lin@capitolrecords.com

9D0C422A48D0 6689 Fri May 3 09:14:07 www-data
tteal@summergrove.com

9C4E922A48D1 6692 Fri May 3 09:14:07 www-data
bicerhadi@yahoo.com

A006622A48D2 6728 Fri May 3 09:14:07 www-data
wayne@charlestonhomesomaha.com

CC60122A48D3 6717 Fri May 3 09:14:07 www-data
benjelensgirl2005@yahoo.com

CD77E22A48D4 6703 Fri May 3 09:14:07 www-data
belisama12@aol.com

7A2E822A48DC 6708 Fri May 3 09:14:08 www-data
wbabione@columbus.rr.com
[/code]

sur des milliers de ligne.

je vous met également en pièces jointe le fichier de conf de postfix

main.cf.txt (3.21 KB)

merci de votre aide.

xps · Février 21, 2016, 2:46pm

j’ai fais quelques vérifs en plus, je sait que je ne suis pas serveur relais.

la ou je ne voit pas comment bloquer le truc c’est que les mails sont envoyé sous mon nom de domaines…

personne?

agentsteel · Février 21, 2016, 2:46pm

Tes spams sont envoyés par l’utilisateur www-data : le serveur Web. Doit y avoir un malware sur ton serveur

lol · Février 21, 2016, 2:50pm

+1

Avec les outils de google (google.com/webmasters/) > état de santé > logiciels malveillants
Il devrait le trouver.