Linux

使用使用者 apache 使用 postfix/dovecot 進行身份驗證

  • March 14, 2012

我們有一個最新的 Centos 5.8,安裝了 Apache、Postfix 和 Dovecot,並且執行沒有問題。

某人或某事不斷以 apache 使用者身份登錄 postfix/dovecot,並發送垃圾郵件@comcast.net 電子郵件地址。日誌條目如下所示:

Mar 13 13:33:34 postfix/smtpd[26456]: D05AE1A900BC: client=unknown[84.51.170.132], sasl_method=LOGIN, sasl_username=apache
Mar 13 13:33:35 postfix/cleanup[26460]: D05AE1A900BC: message-id=<20120313133334.D05AE1A900BC@xxxxxxxx.eu>
Mar 13 13:33:35 postfix/qmgr[2361]: D05AE1A900BC: from=<Comcast_Paydirect@comcast.net>, size=3576, nrcpt=1 (queue active)
Mar 13 13:33:36 postfix/smtp[27125]: D05AE1A900BC: to=<etepula51@yahoo.com>, relay=mta5.am0.yahoodns.net[209.191.88.254]:25, delay=1.9, delays=0.38/0/0.64/0.85, dsn=2.0.0, status=sent (250 ok dirdel)
Mar 13 13:33:36 postfix/qmgr[2361]: D05AE1A900BC: removed

--snip--

Mar 13 16:18:13 postfix/smtpd[13861]: E50DE1A90037: client=unknown[72.54.180.241], sasl_method=LOGIN, sasl_username=apache
Mar 13 16:18:19 postfix/cleanup[13867]: E50DE1A90037: message-id=<20120313161813.E50DE1A90037@xxxxxxxx.eu>
Mar 13 16:18:19 postfix/qmgr[2361]: E50DE1A90037: from=<Comcast_Paydirect@comcast.net>, size=3779, nrcpt=25 (queue active)
Mar 13 16:18:20 postfix/smtp[13868]: E50DE1A90037: to=<alvarenga9472@comcast.con>, relay=none, delay=6.4, delays=6.4/0/0.02/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=comcast.con type=A: Host not found)
Mar 13 16:18:22 postfix/smtp[13869]: E50DE1A90037: to=<altisb1@comcast.net>, relay=mx2.comcast.net[76.96.30.116]:25, delay=9, delays=6.4/0.01/1.1/1.5, dsn=5.1.1, status=bounced (host mx2.comcast.net[76.96.30.116] said: 550 5.1.1 Not our Customer (in reply to RCPT TO command))
Mar 13 16:18:23 postfix/smtp[13869]: E50DE1A90037: to=<alvinj.merrick@comcast.net>, relay=mx2.comcast.net[76.96.30.116]:25, delay=9.9, delays=6.4/0.01/1.1/2.3, dsn=5.1.1, status=bounced (host mx2.comcast.net[76.96.30.116] said: 550 5.1.1 <alvinj.merrick@comcast.net> Account not available (in reply to RCPT TO command))
--snip--
Mar 13 16:18:55 postfix/smtp[13869]: E50DE1A90037: to=<amanda_callaham@comcast.net>, relay=mx2.comcast.net[76.96.30.116]:25, delay=42, delays=6.4/0.01/1.1/35, dsn=2.0.0, status=sent (250 2.0.0 l4JL1i00l248zeQ0N4JMLQ mail accepted for delivery)
Mar 13 16:18:55 postfix/bounce[13870]: E50DE1A90037: sender non-delivery notification: A96601A900C9
Mar 13 16:18:55 postfix/qmgr[2361]: E50DE1A90037: removed

這種情況最近發生了兩次,表明這是同一個人/事物負責的跡像是他們將第一封電子郵件發送到 etepula51@yahoo.com。他們小心翼翼地在幾分鐘內只發送少量電子郵件,大概是為了避免檢測並確保我們的伺服器不會被阻止為垃圾郵件中繼。

如何以 apache 身份進行身份驗證,我該如何阻止它?

在此先感謝您的幫助

如果沒有更多細節,我們將很難追踪。例如,您沒有提及郵件伺服器是否與網路伺服器在同一台機器上執行。您也沒有提到您如何使用 Postfix 對客戶端進行身份驗證(我們可以在那裡看到 SASL 行,但是這將使用哪種身份驗證機制?PAM?一個單獨的數據庫?普通文件?)。

我建議您的機器以某種方式受到損害。從該日誌的外觀來看,有人可能已經更改了影子文件以允許使用apache使用者名登錄(除非您更改此使用者名,否則預設情況下禁用)。他們現在從不同的 IP 地址登錄並使用 postfix 發送垃圾郵件。查看/etc/shadowapache行,看看它是否!!在第二列中:

apache:!!:

這個或您的 Postfix 配置正在作為一個開放中繼工作,並且登錄apache實際上是失敗的,但 Postfix 無論如何都在接受郵件。預設 Postfix 配置不能用作中繼,因此您必須在某個時候啟用它。

您需要追踪可能發生的事情並考慮擦除機器並從已知的良好備份中恢復(您確實有備份,不是嗎?)。

您在那裡的 IP 地址看起來像是來自受感染的機器,因為一個是寬頻提供商,另一個是雲主機(因此可能是那裡的受感染網路伺服器)。

引用自:https://serverfault.com/questions/369526