มีปัญหาเรื่อง Mail Server ครับ วานผู้มีประสบการณ์ช่วยแนะนำที

ผมใช้ Directadmin Update ตลอด
ตัว Server วางที่ IDC csloxinfo

ตอนนี้มีปัญหาอยู่ที่มีการส่ง Email ชื่อประหลาดๆ จำนวนมหาศาลจึงทำให้ IDC แบนผมไป ซึ่งนั้นไม่ใช้ปัญหาสามารถแจ้งให้เค้าปลดแบนได้
แต่ปัญหาคือผมไม่สามารถตรวจหาว่า email มันส่งเข้าจาก script spam หรือ มาจากไหนยังไง รบกวนท่านผู้มีประสบการณ์ขอคำแนะนำด้วยนครับ
ตอนนี้ผมปิด remote smtp ไม่ให้ไปที่ mail server ของ idc ชัวคราวก่อนซึ่งทำให้ส่งเมลอะไรออกไม่ได้เลย

Log Exiam
2008-11-14 15:25:18 1KzPVk-0002yK-1M Completed
2008-11-14 15:25:19 1Kzow9-0004o1-3M == higgins@osdi.com R=lookuphost defer (-30): transport “remote_smtp” not found in lookuphost router
2008-11-14 15:25:19 1Kzow9-0004o1-3M == hicks@osdi.com R=lookuphost defer (-30): transport “remote_smtp” not found in lookuphost router
2008-11-14 15:25:20 1Kzow9-0004o1-3M == herrera@osdi.com R=lookuphost defer (-30): transport “remote_smtp” not found in lookuphost router
2008-11-14 15:25:20 1Kzow9-0004o1-3M == henry@osdi.com R=lookuphost defer (-30): transport “remote_smtp” not found in lookuphost router
2008-11-14 15:25:20 1Kzow9-0004o1-3M == haynes@osdi.com R=lookuphost defer (-30): transport “remote_smtp” not found in lookuphost router
2008-11-14 15:25:21 1Kzow9-0004o1-3M == hawkins@osdi.com R=lookuphost defer (-30): transport “remote_smtp” not found in lookuphost router
2008-11-14 15:25:25 1KzQgQ-0003YW-4A Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A == aevazquez@baxglobal.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A == aevazquezd@baxglobal.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A == aez@baxglobal.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A == af@baxglobal.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A == af46@baxglobal.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A == afaict@baxglobal.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A == afaloski@baxglobal.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A == afancio@baxglobal.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A == afanen@baxglobal.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:25 1KzQgQ-0003YW-4A ** afanen@baxglobal.com: retry timeout exceeded
2008-11-14 15:25:25 1KzQgQ-0003YW-4A ** afancio@baxglobal.com: retry timeout exceeded
2008-11-14 15:25:25 1KzQgQ-0003YW-4A ** afaloski@baxglobal.com: retry timeout exceeded
2008-11-14 15:25:25 1KzQgQ-0003YW-4A ** afaict@baxglobal.com: retry timeout exceeded
2008-11-14 15:25:25 1KzQgQ-0003YW-4A ** af46@baxglobal.com: retry timeout exceeded
2008-11-14 15:25:25 1KzQgQ-0003YW-4A ** af@baxglobal.com: retry timeout exceeded
2008-11-14 15:25:25 1KzQgQ-0003YW-4A ** aez@baxglobal.com: retry timeout exceeded
2008-11-14 15:25:25 1KzQgQ-0003YW-4A ** aevazquezd@baxglobal.com: retry timeout exceeded
2008-11-14 15:25:25 1KzQgQ-0003YW-4A ** aevazquez@baxglobal.com: retry timeout exceeded
2008-11-14 15:25:26 1Kzz8j-0005KZ-Fd == paigebr@castigo.de R=lookuphost defer (-30): transport “remote_smtp” not found in lookuphost router
2008-11-14 15:25:26 1L0tzX-0008Cy-B4 <= <> R=1Kzow9-0004o1-3M U=mail P=local S=1362 T=“Warning: message 1Kzow9-0004o1-3M delayed 48 hours” from <> for donn_nielsen_ad@bluewin.ch
2008-11-14 15:25:26 1KzPbq-0003TJ-QW Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW == a2l@aeropig.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW == a2leo@aeropig.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW == a2mcrae@aeropig.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW == a2ne@aeropig.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW == a2pb@aeropig.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW == a2prix@aeropig.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW == a2roberts@aeropig.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW == a2rsr1@aeropig.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW == a2z1112@aeropig.com R=lookuphost T=remote_smtp defer (-18): Remote host smtp.csloxinfo.com [203.146.237.138] closed connection in response to initial connection
2008-11-14 15:25:27 1KzPbq-0003TJ-QW ** a2z1112@aeropig.com: retry timeout exceeded
2008-11-14 15:25:27 1KzPbq-0003TJ-QW ** a2rsr1@aeropig.com: retry timeout exceeded
2008-11-14 15:25:27 1KzPbq-0003TJ-QW ** a2roberts@aeropig.com: retry timeout exceeded
2008-11-14 15:25:27 1KzPbq-0003TJ-QW ** a2prix@aeropig.com: retry timeout exceeded
2008-11-14 15:25:27 1KzPbq-0003TJ-QW ** a2pb@aeropig.com: retry timeout exceeded
2008-11-14 15:25:27 1KzPbq-0003TJ-QW ** a2ne@aeropig.com: retry timeout exceeded
2008-11-14 15:25:27 1KzPbq-0003TJ-QW ** a2mcrae@aeropig.com: retry timeout exceeded
2008-11-14 15:25:27 1KzPbq-0003TJ-QW ** a2leo@aeropig.com: retry timeout exceeded
2008-11-14 15:25:27 1KzPbq-0003TJ-QW ** a2l@aeropig.com: retry timeout exceeded
2008-11-14 15:25:27 1L0tzX-0008Cy-B4 == donn_nielsen_ad@bluewin.ch R=lookuphost defer (-30): transport “remote_smtp” not found in lookuphost router
2008-11-14 15:25:28 1L0tza-0008DB-GB <= <> R=1KzQgQ-0003YW-4A U=mail P=local S=2591 T=“Mail delivery failed: returning message to sender” from <> for r.silvacj@chinamagcard.com
2008-11-14 15:25:28 1KzQgQ-0003YW-4A Completed

ตอนนี้มีคนพยายามส่ง mail พวกเนียตลอดเวลาเลยครับ รบกวนผู้มีประสบการณ์ขอคำแนะนำด้วยนะครับ

ท่านใดใช้ Direct Admin และมีประสบการณ์ รบกวนช่วยน้องเขาหน่อยนะครับ เพราะปัญหาเรื่องการรับส่งเมล์ นับวันจะทวีคูณขึ้นเรื่อยๆ เห็นใจมากครับ

ลง apache status หรือยังครับ เพื่อมาจาก url

ตรวจสอบดูแล้ว ครับไม่พบเจอ url ไหนที่ผิดสักเกตุครับปกติหมด T_T

เครื่องลง clamav หรือยังครับ อาจโดนไวรัส

ขอบคุณมากครับเดียว จะลองดูนะครับ และจะมารายงนผล T_T

โพสผิดหมวดนะครับ เดี๋ยวรอ mod มาย้ายครับ

[quote author=thaidhost link=topic=15618.msg146643#msg146643 date=1226664929]
โพสผิดหมวดนะครับ เดี๋ยวรอ mod มาย้ายครับ

ps -aux หา process “spamd” มีทำงานหรือเปล่าหากไม่มีก็ติดตั้ง anti spam ด้วยครับ (มีแนะนำใน DA/CP ในตัวเลย)

สาเหตุน่าจะมาจาก 2 เหตุหลักๆคือ

1. พวก contact form หรือ form mail บางเว็บมีช่องโหว่
   พวกนี้จะยิง POST เข้ามาทาง url สามารถตรวจหาจาก Apache status ได้ ดูจาก url ที่ POST เข้ามาเยอะๆ

2. เว็บลูกค้าโดนฝัง script ที่หน้าเว็บ พอมีคนเปิดหน้าเว็บมันก็จะส่งเมล์จำนวนมหาศาลออกไปตามการทำงานของ script ที่เอามาฝัง
   อันนี้ต้องดูจาก mail header ว่ามาจากใหนอย่างไร

การตรวจสอบเบื้องต้นให้เข้า DirectAdmin แล้วคลิกดูเมล์ header ว่ามาจากใหนอย่างไร หากมีเมล์คิวจำนวนมากจนเปิดดูไม่ได้ ก็ให้เข้าไป cat ดูในระบบโดยตรงใน /var/spool/exim/input/xxx

ขอบคุณมากครับ

*ลง clamav แล้ว scan ทั้งเครื่องแล้วครับ แล้ว reboot ก็ยังเป็นเหมือนเดิมครับ

*stop service httpd แล้วก็ยังมีการส่งออกเหมือนเดิมครับไม่น่ามาจาก web

*ที่สำคัญคือผมไม่สามารถ stop service exim ได้ สั่ง stop ไปแล้วเหมือน stop แต่ status ดูยังทำงานอยู่

*ลอง stop service vm-pop3d แล้วก็ยังเหมือนเดิมครับมีการส่งออกอยู่

• -‘’ วานผู้เคยเจออาการนี้ชี้แนะด้วยครับ

[root@www exim]# cat paniclog
2008-11-09 05:10:18 1Kyvza-0005l5-TB User 0 set for local_delivery transport is on the never_users list
2008-11-09 05:10:18 1Kyw0Y-0006C3-9E User 0 set for local_delivery transport is on the never_users list
2008-11-10 01:01:02 1KzEas-0003Kk-0l User 0 set for local_delivery transport is on the never_users list
2008-11-10 01:01:02 1KzEas-0003Km-4a User 0 set for local_delivery transport is on the never_users list
2008-11-10 05:09:11 1KzISy-0008NG-J6 User 0 set for local_delivery transport is on the never_users list
2008-11-10 05:09:12 1KzIT2-0008RG-1A User 0 set for local_delivery transport is on the never_users list
2008-11-11 01:01:02 1Kzb4Q-0006RP-O3 User 0 set for local_delivery transport is on the never_users list
2008-11-11 01:01:02 1Kzb4Q-0006RR-Qu User 0 set for local_delivery transport is on the never_users list
2008-11-11 05:09:45 1Kzex3-0000Eb-KJ User 0 set for local_delivery transport is on the never_users list
2008-11-11 05:09:45 1Kzex7-0000J3-MT User 0 set for local_delivery transport is on the never_users list
2008-11-12 01:01:02 1KzxXy-00046o-OU User 0 set for local_delivery transport is on the never_users list
2008-11-12 01:01:02 1KzxXy-00046t-Sr User 0 set for local_delivery transport is on the never_users list
2008-11-12 05:13:11 1L01Tq-0002kY-BU User 0 set for local_delivery transport is on the never_users list
2008-11-12 05:13:14 1L01U0-0002pt-L9 User 0 set for local_delivery transport is on the never_users list
2008-11-13 01:01:09 1L0K1Y-0005Wy-HX User 0 set for local_delivery transport is on the never_users list
2008-11-13 01:01:11 1L0K1d-0005Z4-9G User 0 set for local_delivery transport is on the never_users list
2008-11-13 05:10:57 1L0NvH-0003YW-5R User 0 set for local_delivery transport is on the never_users list
2008-11-13 05:10:57 1L0NvN-0003eJ-DA User 0 set for local_delivery transport is on the never_users list
2008-11-14 01:01:02 1L0gV4-0002mh-Ff User 0 set for local_delivery transport is on the never_users list
2008-11-14 01:01:02 1L0gV4-0002mv-Qc User 0 set for local_delivery transport is on the never_users list
2008-11-14 05:11:46 1L0kPX-00088H-Ao User 0 set for local_delivery transport is on the never_users list
2008-11-14 05:11:49 1L0kPj-0008EP-2u User 0 set for local_delivery transport is on the never_users list
2008-11-15 01:01:17 1L12yf-0003Oc-Dj User 0 set for local_delivery transport is on the never_users list
2008-11-15 01:01:27 1L12yr-0003Pk-J3 User 0 set for local_delivery transport is on the never_users list
2008-11-15 05:09:46 1L16r6-0002GL-IK User 0 set for local_delivery transport is on the never_users list
2008-11-15 05:09:56 1L16rK-0002Nr-Oa User 0 set for local_delivery transport is on the never_users list
2008-11-16 00:14:48 queue run: process 21505 crashed with signal 9 while delivering 1KzuVk-0001gv-Tn
2008-11-16 01:01:02 1L1PSA-0001md-4O User 0 set for local_delivery transport is on the never_users list
2008-11-16 01:01:02 1L1PSA-0001mi-Sg User 0 set for local_delivery transport is on the never_users list

เวลา htop มี process exim ทำงานดังรูปครับ โดนเจาะหรือป่าว น่าา

แล้ว เวลาดูใน server-status ของ httpd จะมี

• 0/0/168 . 0.28 144 0 0.0 0.00 838.63 125.224.192.227 localhost CONNECT 202.166.255.98:25 HTTP/1.0
  255-0 - 0/0/213 . 0.04 783 0 0.0 0.00 524.15 205.209.161.29 localhost CONNECT 203.188.197.9:25 HTTP/1.0

แนวๆ นี้อยู่เยอะมากเลยครับ

ไปถามท่านนึงเค้าบอกว่าอาจเปิด mod_proxy ไว้ แต่ผมลอง
httpd -l แล้ว

[root@www ~]# httpd -l
Compiled in modules:

stop HTTPD แล้ว spam mail ที่ค้างอยู่ใน queue ก็ยังพยายามส่งต่อครับ ต่อ clear queue มันด้วย
ของ exim นี่ผมไม่รู้ว่าเคลียตรงไหนเพราะส่วนมากใช้แต่ qmail

PS ลองใช้ nikto scan subomain ทั้งหมดใน server ดูอาจจะเจออะไรผิดปกติบ้าง

[quote author=numzzz link=topic=15618.msg146948#msg146948 date=1226773674]
แล้ว เวลาดูใน server-status ของ httpd จะมี

• 0/0/168 .

ตรวจสอบใน httpd.conf แล้วครับไม่พบ mod_proxy ครับ

#LoadModule php4_module

ปัจจุบัน นี้ ยังไม่การส่งเมล์แปลกๆนั้นอยู่หรือไม่

ถ้าเป็นไปได้ขอ URL ด้วยครับ

Edit URL

ลอง stop mail server ดูก่อน แล้วลบ queue ที่ค้างอยู่ออก แล้ว start ใหม่ครับ

สงสัยว่าเมล์ที่ส่งออกไปเป็นของใหม่ หรือของเก่า

ผมว่าน่าจะเจอผ่าน web ที่ลงพวก

จากที่ดูใน server-status มี CONNECT xx.xx.xx.xx:xx HTTP/1.x