Непонятная ситуация со спамом с моей сети

[_seth_ 2]

Какая то странная ситуация со спамом из моей сети. Имеется сервак-шлюз с адресом 193.***.***.**, через него, посредством НАТ, ходят несколько сотен абонентов. Они "натятся" на 3 реальных адреса:

1 - реальный адрес сервака 193.***.***.**.

2 - реальный адрес 195.***.*.10

 

3 - реальный адрес 195.***.*.11

Пришло письмо следующего вида:

 

 

-----Original Message-----
From: "Abuse-Team net4sec UG" <abuse@clean-mx.de>
To: <abuse@***********>
Date: Wed, 15 Jan 2014 23:42:01 +0100
Subject: [clean-mx-spam-93259025] abuse report about 195.***.*.11 - Wed, 15 Jan 2014 23:40:49 +0100

Hello Abuse-Team,

your Server with the IP: 195.***.*.11 has attacked one of our server on the service:
"postfix" on Time: Wed, 15 Jan 2014 23:40:49 +0100
The IP was automatically blocked for more than 10 minutes. To block an IP, it needs
3 failed Logins, one match for "invalid user" or a 5xx-Error-Code (eg. Blacklist)!

Please check the machine behind the IP 195.***.*.11 (unknown) and fix the problem.

real-time data for this day available at:

http://support.clean-mx.de/clean-mx/publog?ip=195.***.*.11


You can parse this Mail with X-ARF-Tools (1. attachment = Details, 2. attachment = Logs).
You found more Information about X-Arf under http://www.x-arf.org/specification.html

If you have a special x-arf email contact, please drop us a note.

In the attachment of this mail you can find the original protocols of our systems.

yours

Gerhard W. Recher
(CTO)

net4sec UG (haftungsbeschraenkt)

Leitenweg 6
D-86929 Penzing

GSM: ++49 171 4802507

Handelsregister Augsburg: HRB 27139
Geschaeftsfuehrer:Martina Recher
EG-Identnr: DE283762194

w3: http://www.clean-mx.de
e-Mail: mailto:abuse@clean-mx.de
PGP-KEY: Fingerprint: A4E317B6DC6494DCC9616366A75AB34CDD0CE552 id: 0xDD0CE552
Location: http://www.clean-mx.de/downloads/abuse-at-clean-mx.de.pub.asc

Evidence:
attacked server: relayn.netpilot.net
envelopesender: lampshades6@google.com
enveloperecpient: hildebrandk@ka-romania.ro
Helo: google.com
source-ip: 195.***.*.11
protocol: ESMTP
instance: predata06.7e7c.52d70e71.ee14c.0
size: 0
reason: 6 -->570 Blocked by http://www.clean-mx.de domain in helo is blacklistet<%s>:
Evidences so far in total for this ip:14

 

Включаю tcpdump (tcpdump -i eth0 dst port 25) на внешнем интерфейсе, полно записей вида:

12:39:04.827266 IP 195.***.*.11.60452 > mta-v3.mail.vip.gq1.yahoo.com.smtp: Flags [P.], seq 0:31, ack 45, win 16549, length 31
12:39:04.841176 IP 195.***.*.11.65454 > bay0-mc1-f.bay0.hotmail.com.smtp: Flags [P.], seq 0:24, ack 245, win 16499, length 24
12:39:04.841185 IP 195.***.*.11.65450 > mx1.hotmail.com.smtp: Flags [P.], seq 21:52, ack 432, win 16452, length 31
12:39:04.857570 IP 195.***.*.11.60456 > mta-v2.mail.vip.bf1.yahoo.com.smtp: Flags [P.], seq 0:23, ack 45, win 16549, length 23
12:39:04.857580 IP 195.***.*.11.60454 > mta-v3.mail.vip.gq1.yahoo.com.smtp: Flags [P.], seq 0:30, ack 45, win 16549, length 30

Включаю на внутреннем tcpdump -i eth1 dst port 25 - никаких движений. Делаю:

iptables -А OUTPUT -o eth0 -s 195.***.*.11 -p tcp --dport 25 -j DROP
iptables -A FORWARD -s 195.***.*.11 -p tcp --dport 25 -j DROP

пакеты как ходили так и ходят. 

Что значит даная ситуация, почему пакеты идущие на 25 порт не видны на внутреннем интерфейсе? Меня взломали?

[endo 101]

Да похоже на то, что сам сервак и флудит

[_seth_ 2]

Так там нет почтового сервиса, даный адрес используется только для НАТ. Как он может сам флудить?

[Tux 24]

может поломали и он теперь флудит?

[_seth_ 2]

может поломали и он теперь флудит?

Вот именно это я и хочу узнать. Вопрос в том: как это сделать?

[_seth_ 2]

Вообще не вижу никаких движений по этому порту на серваке:

# netstat -ltupn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      8571/mysqld     
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      1501/apache2    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      9018/sshd       
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      1501/apache2    
tcp        0      0 0.0.0.0:9443            0.0.0.0:*               LISTEN      1501/apache2    
tcp6       0      0 :::22                   :::*                    LISTEN      9018/sshd       
udp        0      0 0.0.0.0:67              0.0.0.0:*                           9081/dhcpd      
udp        0      0 0.0.0.0:54796           0.0.0.0:*                           19935/pppd      
udp        0      0 0.0.0.0:1812            0.0.0.0:*                           9680/radiusd    
udp        0      0 0.0.0.0:1813            0.0.0.0:*                           9680/radiusd    

# ss -p  
State       Recv-Q Send-Q                                                 Local Address:Port                                                     Peer Address:Port   
ESTAB       0      0                                                         172.16.0.1:ssh                                                       172.16.0.10:42052    users:(("sshd",11485,3),("sshd",11166,3))

#lsof -i :25

т.е. как бы и не сервак флудит, почему тогда на внутреннем интерфейсе (он один) нет никаких пакетов по 25 порту?..

[muff 114]

Посмотри, есть ли в процессах запущеные скрипты на perl или php.

[_seth_ 2]

ps ax | grep php
ps ax | grep perl
ps ax | grep pl

пусто, просмотрел все процессы (ps ax) - вроде бы, ничего подозрительного.

 

 

Я не понимаю почему даже после такого правила пакеты все равно уходят с интерфейса:

iptables -А OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j DROP

Значит они генерируются не серваком? Если они форвардятся почему их не видно на внутреннем интерфейсе? Вуду или кривые руки?

Відредаговано 2014-01-16 14:05:27 _seth_

[axl72 12]

chkrootkit и rkhunter поюзайте..

[foreverok 95]

lsof -i :smtp что то говорит?

[_seth_ 2]

lsof -i :smtp что то говорит?

Пусто.

 

 

chkrootkit и rkhunter поюзайте..

Спасибо за наводку, попробую.

[_seth_ 2]

chkrootkit - не нашел ничего подозрительного. rkhunter - выдал несколько предупреждений, сейчас погуглю по ним, настораживают сообщения о postfix и подобные:

# cat rkhunter.log | grep -i warning

[10:07:55] Info: No mail-on-warning address configured
[10:08:10]   /usr/bin/unhide.rb                              [ Warning ]
[10:08:10] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
[10:09:24]   Checking for passwd file changes                [ Warning ]
[10:09:24] Warning: User 'postfix' has been added to the passwd file.
[10:09:24]   Checking for group file changes                 [ Warning ]
[10:09:24] Warning: Group 'postfix' has been added to the group file.
[10:09:24] Warning: Group 'postdrop' has been added to the group file.
[10:09:25]   Checking if SSH root access is allowed          [ Warning ]
[10:09:25] Warning: The SSH and rkhunter configuration options should be the same:
[10:09:25]   Checking for hidden files and directories       [ Warning ]
[10:09:25] Warning: Hidden directory found: /dev/.udev
[10:09:25] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

Господа, не бойтесь предлагать варианты  .

 

Чисто теоретически, могло ли что то притянуть postfix по зависимостям (хотя я не представляю что это) и не настроеный постфикс используют как ретранслятор? Я где то читал о подобном, но там вроде бы sendmail было...

Відредаговано 2014-01-17 08:28:37 _seth_

[muff 114]

Можете попробовать еще одну утилиту - Lynis.

 

Хотя отправку СПАМа наблюдал всегда в следующих случаях. На маршрутизаторах - от пользователей, которые "ловили" вирусы, на веб-серверах вследствие взлома и размещения скриптов.

 

P.S. Кстати, проверьте почтовую очередь на сервере.

[_seth_ 2]

Отчет Lynis:

  -[ Lynis 1.2.9 Results ]-

  Tests performed: 147
  Warnings:
  ----------------------------
   - [10:53:43] Warning: Found mail_name in SMTP banner, and/or mail_name contains 'Postfix' [test:MAIL-8818] [impact:L]
   - [10:54:22] Warning: Found possible unused iptables rules (5 6 2 1) [test:FIRE-4513] [impact:L]
   - [10:55:37] Warning: No running NTP daemon or available client found [test:TIME-3104] [impact:M]

  Suggestions:
  ----------------------------
   - [10:52:38] Suggestion: update to the latest stable release.
   - [10:53:11] Suggestion: When possible set expire dates for all password protected accounts [test:AUTH-9282]
   - [10:53:11] Suggestion: Configure password aging limits to enforce password changing on a regular base [test:AUTH-9286]
   - [10:53:11] Suggestion: Default umask in /etc/profile could be more strict like 027 [test:AUTH-9328]
   - [10:53:11] Suggestion: Default umask in /etc/login.defs could be more strict like 027 [test:AUTH-9328]
   - [10:53:11] Suggestion: Default umask in /etc/init.d/rc could be more strict like 027 [test:AUTH-9328]
   - [10:53:15] Suggestion: To decrease the impact of a full /home file system, place /home on a separated partition [test:FILE-6310]
   - [10:53:15] Suggestion: To decrease the impact of a full /tmp file system, place /tmp on a separated partition [test:FILE-6310]
   - [10:53:17] Suggestion: Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft [test:STRG-1840]
   - [10:53:17] Suggestion: Disable drivers like firewire storage when not used, to prevent unauthorized storage or data theft [test:STRG-1846]
   - [10:53:31] Suggestion: Install package apt-show-versions for patch management purposes [test:PKGS-7394]
   - [10:53:43] Suggestion: You are adviced to hide the mail_name (option: smtpd_banner) from your postfix configuration. Use postconf -e or change your main.cf file (/etc/postfix/main.cf) [test:MAIL-8818]
   - [10:54:22] Suggestion: Check iptables rules to see which rules are currently not used (iptables --list --numeric --verbose) [test:FIRE-4513]
   - [10:54:43] Suggestion: Add legal banner to /etc/issue, to warn unauthorized users [test:BANN-7126]
   - [10:54:43] Suggestion: Add legal banner to /etc/issue.net, to warn unauthorized users [test:BANN-7130]
   - [10:55:36] Suggestion: Enable auditd to collect audit information [test:ACCT-9628]
   - [10:55:37] Suggestion: Check if any NTP daemon is running or a NTP client gets executed daily, to prevent big time differences and avoid problems with services like kerberos, authentication or logging differences. [test:TIME-3104]
   - [10:56:24] Suggestion: Harden the system by removing unneeded compilers. This can decrease the chance of customized trojans, backdoors and rootkits to be compiled and installed [test:HRDN-7220]

Помимо этого обнаружил такое (сервер выполняет роль сервера доступа пппое):

# ll /etc/ppp/ip-up.d/
total 24
drwxr-xr-x 2 root root 4096 Jan 17 10:07 ./
drwxr-xr-x 9 root root 4096 Nov  6 15:08 ../
-rwxr-xr-x 1 root root  902 Feb  4  2011 0000usepeerdns*
-rwxr-xr-x 1 root root  515 Sep  8  2012 000resolvconf*
-rwxr-xr-x 1 root root 4024 Dec 13  2011 0dns-up*
-rwxr-xr-x 1 root root 1120 Feb 20  2013 postfix*

Еще один вывод:

# unhide brute -v
Unhide 20110113
http://www.unhide-forensics.info
[*]Starting scanning using brute force against PIDS with fork()

Found HIDDEN PID: 26664 "  ... maybe a transitory process"
Found HIDDEN PID: 26672 "  ... maybe a transitory process"
[*]Starting scanning using brute force against PIDS with pthread functions

Found HIDDEN PID: 28060 "  ... maybe a transitory process"
Found HIDDEN PID: 28154 "  ... maybe a transitory process"
Found HIDDEN PID: 28181 "  ... maybe a transitory process"
Found HIDDEN PID: 28295 "  ... maybe a transitory process"
Found HIDDEN PID: 29982 "  ... maybe a transitory process"
Found HIDDEN PID: 29983 "  ... maybe a transitory process"
Found HIDDEN PID: 30000 "  ... maybe a transitory process"
Found HIDDEN PID: 30002 "  ... maybe a transitory process"
Found HIDDEN PID: 31534 "  ... maybe a transitory process"
Found HIDDEN PID: 31571 "  ... maybe a transitory process"

Идентификаторы напоминают пппое сессии абонов...

 

Интересно сообщение: 

 

 - [10:53:43] Warning: Found mail_name in SMTP banner, and/or mail_name contains 'Postfix' [test:MAIL-8818] [impact:L]

В гугле ничего внятного не нашел об этом...

Відредаговано 2014-01-17 09:12:32 _seth_

[_seth_ 2]

P.S. Кстати, проверьте почтовую очередь на сервере.

/var/spool/mail - пусто

/var/spool/postfix/private# ll
total 8
drwx------  2 postfix root    4096 Jan 17 10:07 ./
drwxr-xr-x 20 root    root    4096 Jan 17 10:07 ../
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 anvil=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 bounce=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 bsmtp=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 defer=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 discard=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 error=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 ifmail=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 lmtp=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 local=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 maildrop=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 mailman=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 proxymap=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 proxywrite=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 relay=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 retry=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 rewrite=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 scache=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 scalemail-backend=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 smtp=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 tlsmgr=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 trace=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 uucp=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 verify=
srw-rw-rw-  1 postfix postfix    0 Jan 17 10:07 virtual=

/var/spool/postfix/public# ll
total 8
drwx--s---  2 postfix postdrop 4096 Jan 17 10:07 ./
drwxr-xr-x 20 root    root     4096 Jan 17 10:07 ../
srw-rw-rw-  1 postfix postdrop    0 Jan 17 10:07 cleanup=
srw-rw-rw-  1 postfix postdrop    0 Jan 17 10:07 flush=
prw--w--w-  1 postfix postdrop    0 Jan 17 11:06 pickup|
prw--w--w-  1 postfix postdrop    0 Jan 17 11:02 qmgr|
srw-rw-rw-  1 postfix postdrop    0 Jan 17 10:07 showq=

Я так понимаю у этих непонятных файлов setuid установлен? Это нормально? Просто с постфикс не знаком.

 

Работающий постфикс остановил как сервис - трафик на 25 порт идет.

Відредаговано 2014-01-17 09:56:17 _seth_

[BUM 237]

mailq ?

[_seth_ 2]

# mailq 
postqueue: warning: Mail system is down -- accessing queue directly
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
CAE721DF158      648 Fri Jan 17 12:35:02  root
                                         root

-- 0 Kbytes in 1 Request.

# postsuper -d CAE721DF158
postsuper: CAE721DF158: removed
postsuper: Deleted: 1 message

Трафик уходит. Постфикс остановлен.

Відредаговано 2014-01-17 13:04:14 _seth_

[_seth_ 2]

Благодяря помощи многоуважемого foreverok была найдена причина - зараженные клиенты. Пакеты на внутреннем интерфейсе неловились из-за pppoe-обертки и неверного фильтра. Опытным путем подобрал:

tcpdump -nni eth1 | grep ".25:"

А вообще споймал за хвост (благодаря подсказки foreverok) в /proc/net/ip_conntrack:
 

tcp      6 29 LAST_ACK src=10.2.1.49 dst=64.12.88.164 sport=56507 dport=25 src=64.12.88.164 dst=195.***.*.11 sport=25 dport=56507 [ASSURED] mark=0 use=2
tcp      6 79 TIME_WAIT src=10.2.1.49 dst=205.188.159.42 sport=55962 dport=25 src=205.188.159.42 dst=195.***.*.11 sport=25 dport=55962 [ASSURED] mark=0 use=2
tcp      6 49 TIME_WAIT src=10.2.1.49 dst=65.55.37.120 sport=55573 dport=25 src=65.55.37.120 dst=195.***.*.11 sport=25 dport=55573 [ASSURED] mark=0 use=2
udp      17 22 src=10.2.0.205 dst=83.163.52.185 sport=23045 dport=25157 [UNREPLIED] src=83.163.52.185 dst=195.***.*.11 sport=25157 dport=2191 mark=0 use=2
tcp      6 94 SYN_SENT src=10.2.0.146 dst=77.35.198.200 sport=2554 dport=35478 [UNREPLIED] src=77.35.198.200 dst=195.***.*.11 sport=35478 dport=2554 mark=0 use=2
tcp      6 34 SYN_SENT src=178.187.26.172 dst=195.***.*.11 sport=25457 dport=11438 [UNREPLIED] src=195.***.*.11 dst=178.187.26.172 sport=11438 dport=25457 mark=0 use=2
tcp      6 26 TIME_WAIT src=10.2.1.33 dst=65.54.188.110 sport=60607 dport=25 src=65.54.188.110 dst=195.***.*.11 sport=25 dport=60607 [ASSURED] mark=0 use=2
tcp      6 34 SYN_SENT src=10.2.0.146 dst=95.78.48.11 sport=2300 dport=25802 [UNREPLIED] src=95.78.48.11 dst=195.***.*.11 sport=25802 dport=2300 mark=0 use=2

Спасибо всем кто окликнулся и пытался помогать.

[mr.Scamp 41]

Т.к. трафик транзитный, блокируйте 25й порт не в output, а в forward.

[NiTr0 583]

Угу. И сорс адрес в форвардинге - еще клиентский, а не заначенный...

[_seth_ 2]

Т.к. трафик транзитный, блокируйте 25й порт не в output, а в forward.

Как я понимаю, из-за того что пакеты идут в оболочке пппое, а цепочка НАТ ПОСТРОУТИНГ последняя стандартным способом дропнуть пакеты не выйдет. Наверно, нужен или отдельный брандмауэр на входе/выходе сети или какие то спец. модули iptables о которых мне ничего не известно. Кто то знает о таких модулях?

 

 

 

Угу. И сорс адрес в форвардинге - еще клиентский, а не заначенный...

Адреса выдаются серые из пула, фильтровать по ним смысла особого нет.

 

Я вижу два решения проблемы:

1. Отдельный брандмауэр - вообще не вариант, возможности нет.

2. Звонить абонам и разъяснять ситуацию - как то геморно выглядит, сейчас их 3-5, а если будет 10-20 и больше...

 

Как вы решаете такие проблемы?

[muff 114]

По умолчанию для "хомяков" 25 порт закрыт. Вот и решение проблем.

[_seth_ 2]

По умолчанию для "хомяков" 25 порт закрыт. Вот и решение проблем.

Как?! Те правила что я приводил не отрабатывают. Киньте свое.

[KaYot 3 606]

Правила у вас бредовые. Нужен форвард, SRC IP ваши серые а не адрес интерфейса.

[_seth_ 2]

Правила у вас бредовые. Нужен форвард, SRC IP ваши серые а не адрес интерфейса.

Хм, думал что уже приводил, пробовал я так:

iptables -A FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP
или вообще так
iptables -A FORWARD -p tcp --dport 25 -j DROP

эфекта нет.

Відредаговано 2014-01-20 12:26:23 _seth_