जून में वापस मैंने अपने आप को EICAR परीक्षण हस्ताक्षर भेजा, यह सुनिश्चित करने के लिए कि मेरे पोस्टफिक्स / अमाविस / स्पैमसैसिन आदि सेटअप ठीक से काम कर रहे थे। मुझे उस समय ध्यान नहीं आया, लेकिन इसने किसी तरह से स्पेस-टाइम कॉन्टीनम या कुछ ऐसा बना दिया जिससे हर 5 मिनट में मेल सर्वर इसे खुद को भेजता है, बार-बार।
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct 7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0 <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct 7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0 <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed
जब मैंने स्पैम सर्वर पर फ़ाइलों के बजाय virii@mydomain.com पते पर वायरस से संक्रमित मेल को रूट करने के लिए कॉन्फ़िगरेशन को बदला तो मैं इस मुद्दे पर लड़खड़ा गया। ऐसा लगता है कि अब चार महीनों के लिए हर 5 मिनट में फिर से भेज रहा है।
मैं आज शाम 7 बजे स्पैम सर्वर को रिबूट करने के बाद संक्षेप में इसे बंद कर रहा था और सोचा था कि यह हल हो जाएगा, लेकिन 8:16 बजे मुझे फिर से संदेश मिला, और हर 5 मिनट के बाद। यह मुझे थोड़ा पागल ड्राइव शुरू कर रहा है।
मदद?
संपादित करें: मेलबॉक्स के बजाय सर्वर पर स्टोर करने वाले वायरस पर कॉन्फ़िगरेशन को वापस बदलने पर, समस्या जारी है:
Oct 7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms
ई-मेल के बजाय मुझे हर 5 मिनट में फाइलें मिल जाती हैं।
संपादित करें 2: पोस्टफ़िक्स और अमाविस के विन्यास उलट और पुनरारंभ होने के बाद नए पूर्ण लॉग:
Oct 8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct 8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct 8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct 8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0 <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
जोड़े गए परिवर्तनों के बाद नया लॉग आउटपुट।
—
जेम्स कार्पे
लेकिन आप देखिए यह एक अलग संदेश है। विभिन्न संदेश-आईडी और अलग-अलग mail_id। तो सवाल यह है कि कौन / क्या उस मेल को डिलीवर करने के लिए आपके स्थानीय मशीन से एसएमटीपी का उपयोग करता है? एक क्रॉन जॉब? सॉफ्टवेयर की निगरानी? मेल की अंतिम प्राप्त लाइन में दिखाया जाना चाहिए।
—
13
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
और मेरा
—
क्रॉस्टैब
11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
ओह यार। इसलिए, मैंने इसका पता लगा लिया। पता चलता है कि यह एक नागाओस लिपि थी जो यह जांचती है कि क्या अमाविस चल रहा है, और इस विशेष मुद्दे के लिए अधिक महत्वपूर्ण बात यह है कि एवी इंजन काम कर रहा है ... यह EICAR वायरस भेजकर जांचता है। exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… यदि किसी की रुचि है, तो प्रश्न में स्क्रिप्ट है। उन सभी को धन्यवाद, जिन्होंने मदद करने की कोशिश की, आपने निश्चित रूप से मुझे यह पता लगाने में मदद की!
—
जेम्स कार्पे