ย้อนกลับไปในเดือนมิถุนายนฉันส่งลายเซ็นการทดสอบ EICAR ให้ตัวเองเพื่อให้แน่ใจว่าการตั้งค่า postfix / amavis / spamassassin ของฉันทำงานได้อย่างถูกต้อง ฉันไม่ได้สังเกตในเวลานี้ แต่อย่างใดนี้สร้างน้ำตาในพื้นที่ต่อเนื่องเวลาหรือสิ่งที่ทุก ๆ 5 นาทีที่เซิร์ฟเวอร์อีเมลส่งไปยังตัวเองซ้ำแล้วซ้ำอีก
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct 7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0 <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct 7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0 <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed
ฉันพบปัญหาเมื่อเปลี่ยนการกำหนดค่าในวันนี้เพื่อกำหนดเส้นทางจดหมายที่ติดไวรัสไปยังที่อยู่ virii@mydomain.com แทนที่จะไปที่ไฟล์ในเซิร์ฟเวอร์สแปม ดูเหมือนว่านี่เป็นการส่งซ้ำทุก ๆ 5 นาทีเป็นเวลาสี่เดือนแล้ว
ฉันดูเหมือนจะหยุดชั่วครู่หลังจากรีบูตเซิร์ฟเวอร์สแปมเวลา 19.00 น. คืนนี้และคิดว่าจะแก้ไขได้ แต่เวลา 20:16 น. ฉันได้รับข้อความอีกครั้งและทุกๆ 5 นาทีตั้งแต่นั้น มันเริ่มที่จะทำให้ฉันเสียสติเล็กน้อย
ช่วยด้วย?
แก้ไข: เมื่อเปลี่ยนการกำหนดค่ากลับเป็นการจัดเก็บไวรัสบนเซิร์ฟเวอร์แทนที่จะอยู่ในกล่องจดหมายปัญหายังคงมีอยู่:
Oct 7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms
แทนที่จะได้รับอีเมลฉันจะได้รับไฟล์ทุกๆ 5 นาที
แก้ไข 2: บันทึกใหม่แบบเต็มหลังจากกำหนดค่าการพลิกกลับและรีสตาร์ท Postfix และ Amavis:
Oct 8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct 8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct 8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct 8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0 <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
สร้างบันทึกใหม่หลังจากเพิ่มการเปลี่ยนแปลง
—
James Carppe
แต่คุณเห็นว่านี่เป็นข้อความที่แตกต่าง Message-ID ที่แตกต่างและ mail_id ที่แตกต่างกัน ดังนั้นคำถามยังคงอยู่: ใคร / สิ่งใดที่ใช้ SMTP จากเครื่องของคุณเพื่อส่งจดหมายนั้น งาน cron หรือไม่? ตรวจสอบซอฟต์แวร์หรือไม่ ควรแสดงในบรรทัดที่ได้รับล่าสุดของจดหมาย
—
mailq
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
และ crontab ของฉัน:
—
James Carppe
11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
โอ้เด็ก. ดังนั้นฉันจึงคิดออก ปรากฎว่าเป็นสคริปต์ Nagios ที่ตรวจสอบว่า amavis กำลังทำงานอยู่และที่สำคัญกว่านั้นสำหรับปัญหาเฉพาะนี้ตรวจสอบว่าโปรแกรม AV ทำงานอยู่ ... โดยส่ง EICAR virus exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/…เป็นสคริปต์ที่มีปัญหาหากใครสนใจ ขอบคุณทุกคนที่พยายามช่วยคุณช่วยฉันคิดออกทั้งหมด!
—
James Carppe