Перейти до

Непонятная ситуация со спамом с моей сети


Рекомендованные сообщения

Какая то странная ситуация со спамом из моей сети. Имеется сервак-шлюз с адресом 193.***.***.**, через него, посредством НАТ, ходят несколько сотен абонентов. Они "натятся" на 3 реальных адреса:

1 - реальный адрес сервака 193.***.***.**.

2 - реальный адрес 195.***.*.10

 

3 - реальный адрес 195.***.*.11

Пришло письмо следующего вида:

 

 

-----Original Message-----
From: "Abuse-Team net4sec UG" <abuse@clean-mx.de>
To: <abuse@***********>
Date: Wed, 15 Jan 2014 23:42:01 +0100
Subject: [clean-mx-spam-93259025] abuse report about 195.***.*.11 - Wed, 15 Jan 2014 23:40:49 +0100

Hello Abuse-Team,

your Server with the IP: 195.***.*.11 has attacked one of our server on the service:
"postfix" on Time: Wed, 15 Jan 2014 23:40:49 +0100
The IP was automatically blocked for more than 10 minutes. To block an IP, it needs
3 failed Logins, one match for "invalid user" or a 5xx-Error-Code (eg. Blacklist)!

Please check the machine behind the IP 195.***.*.11 (unknown) and fix the problem.

real-time data for this day available at:

http://support.clean-mx.de/clean-mx/publog?ip=195.***.*.11


You can parse this Mail with X-ARF-Tools (1. attachment = Details, 2. attachment = Logs).
You found more Information about X-Arf under http://www.x-arf.org/specification.html

If you have a special x-arf email contact, please drop us a note.

In the attachment of this mail you can find the original protocols of our systems.

yours

Gerhard W. Recher
(CTO)

net4sec UG (haftungsbeschraenkt)

Leitenweg 6
D-86929 Penzing

GSM: ++49 171 4802507

Handelsregister Augsburg: HRB 27139
Geschaeftsfuehrer:Martina Recher
EG-Identnr: DE283762194

w3: http://www.clean-mx.de
e-Mail: mailto:abuse@clean-mx.de
PGP-KEY: Fingerprint: A4E317B6DC6494DCC9616366A75AB34CDD0CE552 id: 0xDD0CE552
Location: http://www.clean-mx.de/downloads/abuse-at-clean-mx.de.pub.asc

Evidence:
attacked server: relayn.netpilot.net
envelopesender: lampshades6@google.com
enveloperecpient: hildebrandk@ka-romania.ro
Helo: google.com
source-ip: 195.***.*.11
protocol: ESMTP
instance: predata06.7e7c.52d70e71.ee14c.0
size: 0
reason: 6 -->570 Blocked by http://www.clean-mx.de domain in helo is blacklistet<%s>:
Evidences so far in total for this ip:14

 

Включаю tcpdump (tcpdump -i eth0 dst port 25) на внешнем интерфейсе, полно записей вида:





12:39:04.827266 IP 195.***.*.11.60452 > mta-v3.mail.vip.gq1.yahoo.com.smtp: Flags [P.], seq 0:31, ack 45, win 16549, length 31
12:39:04.841176 IP 195.***.*.11.65454 > bay0-mc1-f.bay0.hotmail.com.smtp: Flags [P.], seq 0:24, ack 245, win 16499, length 24
12:39:04.841185 IP 195.***.*.11.65450 > mx1.hotmail.com.smtp: Flags [P.], seq 21:52, ack 432, win 16452, length 31
12:39:04.857570 IP 195.***.*.11.60456 > mta-v2.mail.vip.bf1.yahoo.com.smtp: Flags [P.], seq 0:23, ack 45, win 16549, length 23
12:39:04.857580 IP 195.***.*.11.60454 > mta-v3.mail.vip.gq1.yahoo.com.smtp: Flags [P.], seq 0:30, ack 45, win 16549, length 30

Включаю на внутреннем tcpdump -i eth1 dst port 25 - никаких движений. Делаю:





iptables -А OUTPUT -o eth0 -s 195.***.*.11 -p tcp --dport 25 -j DROP
iptables -A FORWARD -s 195.***.*.11 -p tcp --dport 25 -j DROP

пакеты как ходили так и ходят. 

Что значит даная ситуация, почему пакеты идущие на 25 порт не видны на внутреннем интерфейсе? Меня взломали?

Ссылка на сообщение
Поделиться на других сайтах

Вообще не вижу никаких движений по этому порту на серваке:

# netstat -ltupn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      8571/mysqld     
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      1501/apache2    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      9018/sshd       
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      1501/apache2    
tcp        0      0 0.0.0.0:9443            0.0.0.0:*               LISTEN      1501/apache2    
tcp6       0      0 :::22                   :::*                    LISTEN      9018/sshd       
udp        0      0 0.0.0.0:67              0.0.0.0:*                           9081/dhcpd      
udp        0      0 0.0.0.0:54796           0.0.0.0:*                           19935/pppd      
udp        0      0 0.0.0.0:1812            0.0.0.0:*                           9680/radiusd    
udp        0      0 0.0.0.0:1813            0.0.0.0:*                           9680/radiusd    

# ss -p  
State       Recv-Q Send-Q                                                 Local Address:Port                                                     Peer Address:Port   
ESTAB       0      0                                                         172.16.0.1:ssh                                                       172.16.0.10:42052    users:(("sshd",11485,3),("sshd",11166,3))

#lsof -i :25

т.е. как бы и не сервак флудит, почему тогда на внутреннем интерфейсе (он один) нет никаких пакетов по 25 порту?..

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
ps ax | grep php
ps ax | grep perl
ps ax | grep pl

пусто, просмотрел все процессы (ps ax) - вроде бы, ничего подозрительного.

 

 

Я не понимаю почему даже после такого правила пакеты все равно уходят с интерфейса:

iptables -А OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j DROP

Значит они генерируются не серваком? Если они форвардятся почему их не видно на внутреннем интерфейсе? Вуду или кривые руки?

Відредаговано _seth_
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

chkrootkit - не нашел ничего подозрительного. rkhunter - выдал несколько предупреждений, сейчас погуглю по ним, настораживают сообщения о postfix и подобные:









# cat rkhunter.log | grep -i warning

[10:07:55] Info: No mail-on-warning address configured
[10:08:10]   /usr/bin/unhide.rb                              [ Warning ]
[10:08:10] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
[10:09:24]   Checking for passwd file changes                [ Warning ]
[10:09:24] Warning: User 'postfix' has been added to the passwd file.
[10:09:24]   Checking for group file changes                 [ Warning ]
[10:09:24] Warning: Group 'postfix' has been added to the group file.
[10:09:24] Warning: Group 'postdrop' has been added to the group file.
[10:09:25]   Checking if SSH root access is allowed          [ Warning ]
[10:09:25] Warning: The SSH and rkhunter configuration options should be the same:
[10:09:25]   Checking for hidden files and directories       [ Warning ]
[10:09:25] Warning: Hidden directory found: /dev/.udev
[10:09:25] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

Господа, не бойтесь предлагать варианты  ;) .

 

Чисто теоретически, могло ли что то притянуть postfix по зависимостям (хотя я не представляю что это) и не настроеный постфикс используют как ретранслятор? Я где то читал о подобном, но там вроде бы sendmail было...

Відредаговано _seth_
Ссылка на сообщение
Поделиться на других сайтах

Можете попробовать еще одну утилиту - Lynis.

 

Хотя отправку СПАМа наблюдал всегда в следующих случаях. На маршрутизаторах - от пользователей, которые "ловили" вирусы, на веб-серверах вследствие взлома и размещения скриптов.

 

P.S. Кстати, проверьте почтовую очередь на сервере.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Отчет Lynis:





  -[ Lynis 1.2.9 Results ]-

  Tests performed: 147
  Warnings:
  ----------------------------
   - [10:53:43] Warning: Found mail_name in SMTP banner, and/or mail_name contains 'Postfix' [test:MAIL-8818] [impact:L]
   - [10:54:22] Warning: Found possible unused iptables rules (5 6 2 1) [test:FIRE-4513] [impact:L]
   - [10:55:37] Warning: No running NTP daemon or available client found [test:TIME-3104] [impact:M]

  Suggestions:
  ----------------------------
   - [10:52:38] Suggestion: update to the latest stable release.
   - [10:53:11] Suggestion: When possible set expire dates for all password protected accounts [test:AUTH-9282]
   - [10:53:11] Suggestion: Configure password aging limits to enforce password changing on a regular base [test:AUTH-9286]
   - [10:53:11] Suggestion: Default umask in /etc/profile could be more strict like 027 [test:AUTH-9328]
   - [10:53:11] Suggestion: Default umask in /etc/login.defs could be more strict like 027 [test:AUTH-9328]
   - [10:53:11] Suggestion: Default umask in /etc/init.d/rc could be more strict like 027 [test:AUTH-9328]
   - [10:53:15] Suggestion: To decrease the impact of a full /home file system, place /home on a separated partition [test:FILE-6310]
   - [10:53:15] Suggestion: To decrease the impact of a full /tmp file system, place /tmp on a separated partition [test:FILE-6310]
   - [10:53:17] Suggestion: Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft [test:STRG-1840]
   - [10:53:17] Suggestion: Disable drivers like firewire storage when not used, to prevent unauthorized storage or data theft [test:STRG-1846]
   - [10:53:31] Suggestion: Install package apt-show-versions for patch management purposes [test:PKGS-7394]
   - [10:53:43] Suggestion: You are adviced to hide the mail_name (option: smtpd_banner) from your postfix configuration. Use postconf -e or change your main.cf file (/etc/postfix/main.cf) [test:MAIL-8818]
   - [10:54:22] Suggestion: Check iptables rules to see which rules are currently not used (iptables --list --numeric --verbose) [test:FIRE-4513]
   - [10:54:43] Suggestion: Add legal banner to /etc/issue, to warn unauthorized users [test:BANN-7126]
   - [10:54:43] Suggestion: Add legal banner to /etc/issue.net, to warn unauthorized users [test:BANN-7130]
   - [10:55:36] Suggestion: Enable auditd to collect audit information [test:ACCT-9628]
   - [10:55:37] Suggestion: Check if any NTP daemon is running or a NTP client gets executed daily, to prevent big time differences and avoid problems with services like kerberos, authentication or logging differences. [test:TIME-3104]
   - [10:56:24] Suggestion: Harden the system by removing unneeded compilers. This can decrease the chance of customized trojans, backdoors and rootkits to be compiled and installed [test:HRDN-7220]

Помимо этого обнаружил такое (сервер выполняет роль сервера доступа пппое):



# ll /etc/ppp/ip-up.d/
total 24
drwxr-xr-x 2 root root 4096 Jan 17 10:07 ./
drwxr-xr-x 9 root root 4096 Nov  6 15:08 ../
-rwxr-xr-x 1 root root  902 Feb  4  2011 0000usepeerdns*
-rwxr-xr-x 1 root root  515 Sep  8  2012 000resolvconf*
-rwxr-xr-x 1 root root 4024 Dec 13  2011 0dns-up*
-rwxr-xr-x 1 root root 1120 Feb 20  2013 postfix*

Еще один вывод:



# unhide brute -v
Unhide 20110113
http://www.unhide-forensics.info
[*]Starting scanning using brute force against PIDS with fork()

Found HIDDEN PID: 26664 "  ... maybe a transitory process"
Found HIDDEN PID: 26672 "  ... maybe a transitory process"
[*]Starting scanning using brute force against PIDS with pthread functions

Found HIDDEN PID: 28060 "  ... maybe a transitory process"
Found HIDDEN PID: 28154 "  ... maybe a transitory process"
Found HIDDEN PID: 28181 "  ... maybe a transitory process"
Found HIDDEN PID: 28295 "  ... maybe a transitory process"
Found HIDDEN PID: 29982 "  ... maybe a transitory process"
Found HIDDEN PID: 29983 "  ... maybe a transitory process"
Found HIDDEN PID: 30000 "  ... maybe a transitory process"
Found HIDDEN PID: 30002 "  ... maybe a transitory process"
Found HIDDEN PID: 31534 "  ... maybe a transitory process"
Found HIDDEN PID: 31571 "  ... maybe a transitory process"

Идентификаторы напоминают пппое сессии абонов...

 

Интересно сообщение: 

 

 - [10:53:43] Warning: Found mail_name in SMTP banner, and/or mail_name contains 'Postfix' [test:MAIL-8818] [impact:L]

В гугле ничего внятного не нашел об этом...

Відредаговано _seth_
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

P.S. Кстати, проверьте почтовую очередь на сервере.

/var/spool/mail - пусто



/var/spool/postfix/private# ll
total 8
drwx------  2 postfix root    4096 Jan 17 10:07 ./
drwxr-xr-x 20 root    root    4096 Jan 17 10:07 ../
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 anvil=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 bounce=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 bsmtp=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 defer=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 discard=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 error=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 ifmail=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 lmtp=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 local=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 maildrop=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 mailman=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 proxymap=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 proxywrite=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 relay=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 retry=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 rewrite=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 scache=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 scalemail-backend=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 smtp=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 tlsmgr=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 trace=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 uucp=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 verify=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 virtual=



/var/spool/postfix/public# ll
total 8
drwx--s---  2 postfix postdrop 4096 Jan 17 10:07 ./
drwxr-xr-x 20 root    root     4096 Jan 17 10:07 ../
srw-rw-rw-  1 postfix postdrop    0 Jan 17 10:07 cleanup=
srw-rw-rw-  1 postfix postdrop    0 Jan 17 10:07 flush=
prw--w--w-  1 postfix postdrop    0 Jan 17 11:06 pickup|
prw--w--w-  1 postfix postdrop    0 Jan 17 11:02 qmgr|
srw-rw-rw-  1 postfix postdrop    0 Jan 17 10:07 showq=

Я так понимаю у этих непонятных файлов setuid установлен? Это нормально? Просто с постфикс не знаком.

 

Работающий постфикс остановил как сервис - трафик на 25 порт идет.

Відредаговано _seth_
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)


# mailq 
postqueue: warning: Mail system is down -- accessing queue directly
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
CAE721DF158      648 Fri Jan 17 12:35:02  root
                                         root

-- 0 Kbytes in 1 Request.



# postsuper -d CAE721DF158
postsuper: CAE721DF158: removed
postsuper: Deleted: 1 message

Трафик уходит. Постфикс остановлен.

Відредаговано _seth_
Ссылка на сообщение
Поделиться на других сайтах

Благодяря помощи многоуважемого foreverok была найдена причина - зараженные клиенты. Пакеты на внутреннем интерфейсе неловились из-за pppoe-обертки и неверного фильтра. Опытным путем подобрал:

tcpdump -nni eth1 | grep ".25:"

А вообще споймал за хвост (благодаря подсказки foreverok) в /proc/net/ip_conntrack:
 

tcp      6 29 LAST_ACK src=10.2.1.49 dst=64.12.88.164 sport=56507 dport=25 src=64.12.88.164 dst=195.***.*.11 sport=25 dport=56507 [ASSURED] mark=0 use=2
tcp      6 79 TIME_WAIT src=10.2.1.49 dst=205.188.159.42 sport=55962 dport=25 src=205.188.159.42 dst=195.***.*.11 sport=25 dport=55962 [ASSURED] mark=0 use=2
tcp      6 49 TIME_WAIT src=10.2.1.49 dst=65.55.37.120 sport=55573 dport=25 src=65.55.37.120 dst=195.***.*.11 sport=25 dport=55573 [ASSURED] mark=0 use=2
udp      17 22 src=10.2.0.205 dst=83.163.52.185 sport=23045 dport=25157 [UNREPLIED] src=83.163.52.185 dst=195.***.*.11 sport=25157 dport=2191 mark=0 use=2
tcp      6 94 SYN_SENT src=10.2.0.146 dst=77.35.198.200 sport=2554 dport=35478 [UNREPLIED] src=77.35.198.200 dst=195.***.*.11 sport=35478 dport=2554 mark=0 use=2
tcp      6 34 SYN_SENT src=178.187.26.172 dst=195.***.*.11 sport=25457 dport=11438 [UNREPLIED] src=195.***.*.11 dst=178.187.26.172 sport=11438 dport=25457 mark=0 use=2
tcp      6 26 TIME_WAIT src=10.2.1.33 dst=65.54.188.110 sport=60607 dport=25 src=65.54.188.110 dst=195.***.*.11 sport=25 dport=60607 [ASSURED] mark=0 use=2
tcp      6 34 SYN_SENT src=10.2.0.146 dst=95.78.48.11 sport=2300 dport=25802 [UNREPLIED] src=95.78.48.11 dst=195.***.*.11 sport=25802 dport=2300 mark=0 use=2

Спасибо всем кто окликнулся и пытался помогать.

Ссылка на сообщение
Поделиться на других сайтах

Т.к. трафик транзитный, блокируйте 25й порт не в output, а в forward.

Как я понимаю, из-за того что пакеты идут в оболочке пппое, а цепочка НАТ ПОСТРОУТИНГ последняя стандартным способом дропнуть пакеты не выйдет. Наверно, нужен или отдельный брандмауэр на входе/выходе сети или какие то спец. модули iptables о которых мне ничего не известно. Кто то знает о таких модулях?

 

 

 

Угу. И сорс адрес в форвардинге - еще клиентский, а не заначенный...

Адреса выдаются серые из пула, фильтровать по ним смысла особого нет.

 

Я вижу два решения проблемы:

1. Отдельный брандмауэр - вообще не вариант, возможности нет.

2. Звонить абонам и разъяснять ситуацию - как то геморно выглядит, сейчас их 3-5, а если будет 10-20 и больше...

 

Как вы решаете такие проблемы?

Ссылка на сообщение
Поделиться на других сайтах

По умолчанию для "хомяков" 25 порт закрыт. Вот и решение проблем.

Как?! Те правила что я приводил не отрабатывают. Киньте свое.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Правила у вас бредовые. Нужен форвард, SRC IP ваши серые а не адрес интерфейса.

Хм, думал что уже приводил, пробовал я так:



iptables -A FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP
или вообще так
iptables -A FORWARD -p tcp --dport 25 -j DROP

эфекта нет.

Відредаговано _seth_
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від mlevel
      Шукаю системного адміністратора для виконання разової роботи по налаштуванню корпоративного поштового сервера на базі вже встановленої ОС FreeBSD 10.2 (повністю "чиста" система).
       
      Софт:
      1. Postfix 3 + Dovecot 2.2
      2. PostgreSQL 9
      3. SpamAssassin 3.4 + ClamAV 0.99
      4. PostfixAdmin (+ nginx)
      5. Roundcube 1.1 (+ nginx)
       
      Вимоги:
      1. Підтримка квот (quotas) на розмір поштових скриньок.
      2. 3 поштових домени (multi-domain support)
      3. SSL/TLS support.
      4. LMTP support.
      5. Врахування наявності SPF/DKIM при рангуванні спаму.
      6. Автоматичне навчання системи розпізнавання спаму при переміщенні повідомлення в папку Spam.
      7. Віртуальні mailboxes (одна поштова скринька для декількох користувачів).
       
      Також треба performance tunning (для 4k+ користувачів).
       
      Будь ласка пишіть в приватні повідомлення, обговоримо деталі.
    • Від vavilonua
      Есть свой SMTP сервер, письма через него ходят нормально но на gmail маркируються как спам.
       
      PTR и SPF записи существуют, в SPF прописан адрес сервера на котором настроен postfix
      Received-SPF: softfail (google.com: domain of transitioning ........@mail.ru does not designate ............. as permitted sender) client-ip=xx.xx.xx.xxx;Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning ........@mail.ru does not designate ............. as permitted sender) smtp.mail=xxx@mail.ru; dmarc=fail (p=NONE dis=NONE) header.from=mail.ru
×
×
  • Створити нове...