synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяДополнительные Приложения Synology › Снова про Mail Server

Снова про Mail Server

Nikolay2 · 27.06.2013

У меня RS212.

 

Был взломан и рассылал спам тысячами... После неудачных попыток "отремонтироваться", удалил пакет и загрузил по новой.

Всё установилось. Были подхвачены все пользователи... Но осталась проблема.

Сейчас пользователи могут отправлять почту, но получать её не могут.

Плюс ко всему телнетом не пускает... клиент pytty после введения логина и пароля просто закрывается

 

Стоит он внутри сети за роутером.. соответственно имеет адрес 192.168.1.1

вот на этот адрес телнетом не пройти никак... админская панель (браузером) работает, но там много не нарулишь.

 

Кто нить сталкивался с таким вариантом? И как бы его победить с наименьшими потерями?

rsergeev · 27.06.2013

Меняйте через административную панель пароль на пользователя admin и проверьте, что внутренний ip, с которого идёт коннект через putty, не находится ли в списке блокировки.

 

Сам сейчас нахожусь в похожей ситуации. На прошлой неделе обнаружил открытый релей на своём почтовом сервере. Подумал что мог сам перемудрить ковырянием в конфигах постфикса, незадолго до того упражнялся. За ночь разослали порядка 30 тысяч писем. Релей закрыл, настроил постфикс сначала и по честному, на всякий случай поменял пароли пользователей. Ничего не предвещало беды. Вчера ночью обнаружил, что изменился пароль на пользователя root. Посторонних следов присутствия обнаружить пока не смог, левых процессов или коннектов нет. Такое ощущение, что в DSM раскопали дырку и о ней пока особо ничего не известно. Свежих сообщений об уязвимостях не обнаружил. Наружу смотрит 25, 80, 443 порт, т.е. ломать могли либо через постфикс, либо через апач/пхп. На роутере стоит вьятта, там тоже изменений не нашёл. Что с этим делать не очень понятно, пока понаблюдаю за развитием событий.

Nikolay2 · 28.06.2013
Меняйте через административную панель пароль на пользователя admin и проверьте, что внутренний ip, с которого идёт коннект через putty, не находится ли в списке блокировки......

admin-а я вообще отключил.. сделал другого username админом. Список блокировки есть, но ip с которого идет коннект в нем отсутствует... Правда айпишники свичей и роутера пока не проверял... Как вариант список болокировки экспортировать и затем отключить автоматическую блокировку... Мера конечно крайняя, но должно получиться быстрее, чем ежели вычитывать-выискивать несколько адресов вручную в этом списке.

 

... На самом деле апдейт на такую технику был вынужденным. До этого в качестве фойервола стоял комп с процессором интел... на нем была SUSE. Стали сыпаться диски и разваливаться кабели внутри (9 лет круглосуточной работы)... Решил попробовать новую технику... Начинаю задумываться об откате назад. Не нравится мне что почтовый сервер на этом устройстве, занимает место дополнительного приложения. Равно как и убирать пластиковый роутер (топовая модель от ASUS, блок питания сгорел через 2 месяца.. случайно удалось найти отдельный БП т.к. он там ноутбучный и с очень мелким нестандартным джеком для питания).

 

Какие-то мысли грустные совсем.. не смотря на тот факт что пятница сегодня)

 

Ну а так то тоже пока мониторю ситуацию... если такие сложности будут появляться, сделаю из него файловую помойку, а нужные сервисы подниму на обычном Линкусе и забуду о проблемах ещё лет 6-9 )))

 

PS... ммммда... решил я вернуть админа к жизни.. т.е. аккаунт admin восстановил. Так вот с этим аккаунтом, putty благополучно запустился. А другой изернейм с правами админа - не признается как класс.

rsergeev · 28.06.2013

По умолчанию коннект через ssh разрешен только для пользователя root и admin. Если нужен коннект из под других пользователей, то необходимо руками поправить файл /etc/passwd и перезапустить sshd

Nikolay2 · 28.06.2013

как работать через терминал понятно....

. до сих пор не могу настроить получение почты... сам себе отправить-получить работает... наружу отправка работает... прием снаружи не работает.

исторически было так...

1. всё было настроено и работало

2. даже после взлома все работало, только со спамом

3. починить не удалось, пришлось удалять весь пакет

4. после установки нового пакета - не работает на прием

rsergeev · 28.06.2013

Могли успеть попасть в блеклисты за рассылку спама. Или провайдер закрыл вход на 25-й порт

Проверьте через mxtoolbox как работает smtp-тест на ваш домен. И блеклист-чек не помешает

andriyashev · 08.10.2013

А теперь по русски можно?

Как я понял ставить Mail Server опасно даже для админки?

Nikolay2 · 09.10.2013
А теперь по русски можно?

Как я понял ставить Mail Server опасно даже для админки?

любой софт так или иначе имеет некую нестабильность.. так что вопрос этот философский. В этом варианте почтового сервера,

на самом то деле, нет ничего нового. Но порулить с админки как хочется - не получается. Насколько я разобрался, модуль ставится как есть и просто чего нить к нему прикрутить дело не простое. А может и невозможное т.к. все это руление происходит в ПЗУ... диски там только для хранилища. Но командная строка таки есть. Другое дело что заточена она под vi и чтоб там рулить, надо знать как им управляться. Я не дружу с этим редактором.. так уж исторически сложилось.

 

А проблему я решил... удалил абсолютно все правила которыми отбивался от спама. Почтовик заработал, но рассылка спама от меня продолжилась. Начал изучать логи. Заметил такую особенность.. "Пробивали" не с первого раза, а со второго-третьего... Т.е. скрипт логинится (для отправки сообщения), получает отбой, вторая-третья попытка - удачно. Вот этот момент я с админки и обрезал... Суть такова. Каждому пользователю дается несколько попыток залогиниться (на случай неправильного введения логин-пасворда)... Я поставил одну попытку, и в случае неудачи сразу в бан на три месяца. Сначала список забаненых адресов рос ежеминутно.. потом отпустило.

Как то вот так удалось решить местные проблемы. А вообщет я уже оформил покупной домен с почтовым сервером на платном хостинге для предприятия. около 300 рублей в месяц по безналу. В тариф включены почтовые адреса... у меня 10 штук... если надо ещё, то 1 руб за адрес в месяц можно добавлять хоть сколько.

А ещё через год, почтовик на этом девайсе прикрою т.к все таки это не почтовый сервер, а хранилище.. правда навороченное...

Sergey_w · 12.10.2013

Пару дней назад тоже заметил открытый релей на DS508 у себя, успел попасть в BL куда только можно.

Из защиты у меня стоит пограничный роутер микротик со всевозможными правилами доступа в мою сеть.

Поэтому попасть сразу на DS можно только по 25 и 53 порту, причем 23 и 22 отключены, а на все остальные порты доступ после некоторых манипуляций.

Проблема началась после недавней установки DNS сервера, и кстати траффик udp на 53 порт валится непрерывно теперь и стало заметно подтормаживание.

После смены пароля админа спам прекратился.

Возможные дырки у себя могу только предполагать, а их несколько:

1.Был включен гость с пустым паролем для доступа по SMB

2.Через обновления приложения с возможной дырой, не помню ,но что то обновлял.

3.Дыра через компьютер, который находится в локальной сети вместе с DS , и поэтому по портам не фильтруется ,но это маловероятно.

Сменил DS508 на DS713+ так как у первого возможностей стало меньше и обновления прошивки походу прекратились.

Сейчас пристально наблюдаю за щипачами портов,блэк лист адресов растет не смотря на выходные.

multiplex · 08.07.2014

Подскажите пожалуйста или ткните пальцем где посмотреть где можно почитать логи mail server, а тоже сервак банят из-за спама.