Sziasztok, az alábbi problémára keresek megoldást, próbálnám a helyzetet úgy megoldani, hogy ne legyen a vége reinstall.
A lényeg a következő:
Adott egy jó régen telepített Ubuntu 10.04.4 (ami tulajdonképpen 8.04-ként született, majd később frissítve lett), ami a GTS Datanetnél van elhelyezve. Maga a rendszer örökölt, rám maradt az előző gazdától, eredetileg egy ősöreg Debian alatt futott, másik vason. Aztán vettünk új vasat, amire felkerült az említett Ubuntu telepítés, a Debianos rendszer mentéseiből származó konfigurációk átmigrálása után pedig az új gépet betoltuk a host céghez.
A gép egy szűk baráti körnek lát el szerverfunkciókat, nagyjából az alábbi alkalmazásokkal (első körben igyekszem csak a szerintem releváns alkalmazásokat felsorolni):
- apache2 (hivatalos repóból telepítve): Nagyjából 30 weboldalt szolgál ki, ezek nagyrésze folyamatosan frissentartott drupal alapú.
Az mpm-prefork le lett cserélve apache2-mpm-worker-re, a PHP állományok libapache2-mod-fcgid segítségével vannak futtatva.
- squid3 (hivatalos repóból telepítve): Az apache2 előtt egy squid3 transparent proxy ül. Ezt csak egy bizonyos terhelés csökkentése miatt iktattuk be.
(Az egyik weboldalt - jobban mondva tulajdonképpen a 80-as portot - DDOS szerű támadások érték. Ezt igyekeztünk kivédeni többek között transparent cache proxy használatával.)
- bind9 (hivatalos repóból telepítve): A géppel együtt érkeztek domain nevek is, amiknek a másodlagos névszerver funkcióit szintén mi láttuk el, ezért kellett a bind.
Később, ahogy a domain neveket frissíteni kellett, ezeket folyamatosan megszüntettük, már csak egy ilyen domain név maradt.
- mysql (hivatalos repóból telepítve): Kellet, nyilvánvaló miért. Drupalok, Postfix, stb.
- postfix (hivatalos repóból telepítve): 5 virtuális domain, nagyjából 30 userrel. Semmi extra, viszont az évek során a saját domain végződésű emailek annyira hozzánk nőttek, hogy nem akarunk tőlük megválni.
A virtuális domainek és a userek is mysql-ben vannak tárolva.
- RoundCube webmail: Régebben mókusposta volt, de jobbnak láttuk erre váltani különböző okok miatt.
- phpmyadmin (hivatalos repóból telepítve): Igen van. És nem is nagyon szeretnénk tőle megválni...
Ezeken kívül van még pár olyan alkalmazás, amik mindig futnak, előfordul szoftverfejlesztés is esetenként, így a gépen van Java és GCC is, Tomcatet csak akkor indítunk, ha kell a fejlesztéshez, stb.
chrootkit és rkhunter adott időközönként lefut a gépen.
A probléma a következő:
Egy jó ideje a gépünk spameket küldözget a világba. A helyzet az, hogy a dolog ezen részéhez igazából annyira nem értünk, de próbáltunk lépéseket tenni, sajnos nem sok sikerrel. Ezért sok RBL listára felkerültünk már, gmail-re sem tudunk már levelet küldeni, stb.
Külön logoljuk a PHP mail() függvény hívásait, ebből a logból nem derült ki semmi érdekes, látszólag nem ezen az úton megy ki a spam.
Állítottunk be SPF rekordot, DKIM autentikáció is működik.
A legbossszantóbb az, hogy igazából a /var/log/mail.* logokból nem látszik (számomra legalábbis), hogy menne ki fals levél. Persze látunk ott fura dolgokat, olyat is, hogy nem enged elküldeni levelet SPAM jelöléssel (spassisian működik) olyan címekről, amiket nem is ismerünk.
Tehát a problémának vannak látható jelei, csak nem tudunk mit kezdeni vele.
Ezért fordultam végül hozzátok. Mint látható nem vagyok linux admin expert, csak egy hobbi linuxos, aki a rábízott rendszert igyekszik megfelelően működtetni. Ez nem fizetős tevékenység, a munkám mellett végzem szabadidőmben, a kis baráti társaságunk szórakozását (és a sajátomat is persze) elősegítve ezzel.
Viszont ez a spam dolog nagyon bosszantó, és természetesen távol áll tőlünk mindenféle levélszemet küldési tevékenység. Ezért is szeretnénk megszüntetni.
Így kérem, hogy akiben van egy kevés segítő szándék az segítsen nekünk, akár általános, akár konkrét tanáccsal.
Kérésre mindenféle logot, illetve konfigurációs állományt megosztok.
Előre is köszönjük.
sumo
edit (2012.04.09.):
Sziasztok, a probléma az alábbi módon lett megoldva.
A megoldásra majdhogynem véletlenül jöttünk rá, mivel idő hiányában alig volt időnk foglalkozni a dologgal.
Egyik nap úgy döntöttünk, hogy úgy ahogy van elköltöztetjük a levelezést a gépünkről, és az email accountjainkat átmigráltuk ahhoz a szolgáltatóhoz, amelyik a domaint is üzemelteti. Miután ezzel megvoltunk, és meggyőződtünk róla, hogy minden levél és account megvan, valamint az újonnan érkező levelek már az új kiszolgálón keresztül érkeznek, (és persze a spamek még mindig ugyanúgy áramlanak kifelé a gépről), gondoltunk egy nagyot és a megmaradt pár perces szabadidőnket azzal vesztegettük el, hogy próbaképpen leállítunk minden proxy szolgáltatást a szerveren. Ez ugye a transzparens squid3 proxy-t és az apache mod_proxy-ját jelentette. Majd láss csodát, szinte minden adatforgalom megszűnt, az értékek visszaálltak a normális tartományba, egy fia levél se hagyta el többet a gépet. Tehát az említett DDOS már réges-rég a múlté lehetett, helyette azonban használták a proxyt spammelésre.
Most pár nap tesztelés után igyekszünk minden blacklistről leiratkozni, van amelyikről 1 - 2 nap után automatikusan lekerültünk, van amiről ha egyszer felkerült az ember leiratkozni sem lehet, a gmail meg az istennek nem akar visszafogadni a kegyeibe, csak a Bulk Senderes autorespond levelet kapjuk folyamatosan. Pedig az weboldalak normális üzemeltetéséhez lassan jó lenne, ha mondjuk regisztrációkor és hasonló ügyekben tudnának levelet küldeni a címzettnek.
Mindenesetre minden segítséget és tippet köszönök, a mi részünkről (legalábbis egyelőre) nem megy ki több szemét a nagyvilágba. :)