Автор Тема: Spam от локалната мрежа  (Прочетена 7309 пъти)

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Spam от локалната мрежа
« -: Oct 08, 2012, 19:30 »
Здравейте,

Дайте някаква идея как да прихвана кое IP от локалната бълва спам.
Някой явно е триперясъл и не мога да го докопам кой е.. Сканирах всичките компютри от домейна но продължава гадината от една седмица на сам и не мога да изляза от листата.

Пробвах с tcpdump

tcpdump -i eth2 -s 0 -w spam-packets.log port 25 or port 587 or port 993

и после да проследя трафика от портовете

tcpdump -r spam-packets.log -vvv -XX -A | less

Дори и да извадя само адресите от връзките пак не виждам ненормални показания

tcpdump -r spam-packets.log -vvv -XX -A | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'

ама нищо не мога да открия дето да бълва постоянно. На пръв поглед всичко е в границите на нормалното ( от време на време някой си праща писанце и прехвърча по някой пакет )

Нямам релей на интерфейса и всичките се удостоверяват през saslauth.  За това за сега изключвам варианта някой да се е закачил към SMTP-то. За SMTP ползвам sendmail + saslauth + spamassissan

От 1 седмицата IP repotation ми е 1-7 от нормални 100 :)

Някой да си има на идея някой инструмент за снифене на тафика и анализиране, че да го надуша от кое IP идва?
Така или иначе си мисля, че ако е от локалната на вън трябва да се връзва към 25 порт независимо кой е на вируса и би следвало да го покаже ако дъмпя на 25 ама нещо може и аз да съм в грешка... :)



Мрежата е

WAN       <--->               SERVER               <--->               LOCAl NET
                             ( SMTP, HTTP, etc. )


Дистрото е Slackware 13.37
Sendmail -  8.14.4
SASL  -  8.13.1



За протокола съм спрял mail() функцията в PHP както и shell_exec etc.

« Последна редакция: Oct 08, 2012, 19:45 от runtime »
Активен

geroy

  • Напреднали
  • *****
  • Публикации: 198
  • Distribution: Windows, NetBSD, Devuan
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #1 -: Oct 08, 2012, 19:56 »
Е виж му header на писмото от кое IP идва. Може да заразен компютър който се пуска периодично...
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Re: Spam от локалната мрежа
« Отговор #2 -: Oct 08, 2012, 23:03 »
Доколкото разбирам, сървърът на картинката е и GW за мрежата. Добави едно правило във FORWARD таблицата на защитната стена, с което да спираш всички изходящи към порт 25 и си готов.
След това, по статистиките за блокираните пакети ще се ориентираш дали сме уцелили.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #3 -: Oct 09, 2012, 16:44 »
С малко помощ се справихме :)  [_]3

1-во пренасочих всчкия трафик от локалната на порт 25 към сървъра ( да не излиза )
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 25 -j DNAT --to-destination 192.168.0.1:25

2-ро в php.ini забраних почти всички ненужни функции
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,mail

и за сега май точките взеха да се вдигат. Благодаря на отзовалите се, ако нещо пак се закучи ще драсна.  [_]3
Активен

nemanema

  • Напреднали
  • *****
  • Публикации: 103
    • Профил
Re: Spam от локалната мрежа
« Отговор #4 -: Oct 09, 2012, 16:53 »
Здрасти,
По спомен open relay не трябва да е активен в 8.14.4, но за статистиката не е лошо да се провери.
При проверките защо не проверяваш и 465 ?
Според мен, за да гепиш "наглеца" трябва да спреш всякакъв трафик от локалната навън. Web-а да е през прокси. Мейл-а да се пренасочи към SSL портовете на сървъра и да се следи за неоторизиран опит за изпращане.
Сканирането от домейн-а не е ефективно според мен, ако не е с платени профи инструменти. Прозорците могат да си разменят "триперливите" глупости и със самия домейн и да си ги държат там докато тече проверката на локалния акаунт, а в последствие да си се възстанови и да те заобикаля.
Незнам колко са ти машините, но най-чисто си е да се откачат дисковете на локалните машини и да се проверяват в "стерилна" среда, като се закачат в работно състояние, а не да се стартира машината, която ще проверява.

Успех !
Активен

---=== мир и любов ===---

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Re: Spam от локалната мрежа
« Отговор #5 -: Oct 09, 2012, 18:37 »
...Незнам колко са ти машините, но най-чисто си е да се откачат дисковете на локалните машини и да се проверяват в "стерилна" среда, като се закачат в работно състояние, а не да се стартира машината, която ще проверява....
Е, чак пък да се откачат дискове... Стартира се системата напр. с AVG Rescue CD и се сканира...
А пощенски сървър може да се тества с Mail relay testing и с инструментите от www.dnsstuff.com
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #6 -: Oct 09, 2012, 19:36 »
Цитат

SMTP Reverse Dns    OK - 109.121.200.222 resolves to novotechprom.com
SMTP Reverse DNS Mismatch    OK - Reverse DNS matches SMTP Banner
SMTP TLS    Warning - Does not support TLS.
SMTP Connection Time    0 seconds - Good on Connection time
SMTP Open Relay    OK - Not an open relay.
SMTP Transaction Time    2.215 seconds - Good on Transaction Time


EHLO please-read-policy.mxtoolbox.com
250-novotechprom.com Hello mxtb-pws3.mxtoolbox.com [64.20.227.133], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH LOGIN PLAIN
250-DELIVERBY
250 HELP [172 ms]
MAIL FROM: <supertool@mxtoolbox.com>
250 2.1.0 <supertool@mxtoolbox.com>... Sender ok [406 ms]
RCPT TO: <test@example.com>
550 5.7.1 <test@example.com>... Relaying denied. Proper authentication required. [234 ms]
QUIT
221 2.0.0 novotechprom.com closing connection [187 ms]


Тъй релей няма. Сложих clamav-milter + spass-milter. Пренасочих всяка заявка на порт 25 към сървъра за да не излиза навън. Спрях mail() функцията и другите по-горе в php....
Тествах и за rootkit - няма

обаче точките пак падат   >:D ;D ;D

IP: 109.121.200.222  Някой ако му се тества ще съм му благодарен за релей :)
Невъзможно ми се струва вече по някакъв начин да излизат писма.

Вече се чудя дали тоя сайт не се е**ва с мен: https://www.senderscore.org/lookup.php?lookup=109.121.200.222&ipLookup=Go

П.С. на тоя сайт http://www.abuse.net/relay.html  - CGI скрипта му го няма  [_]3
« Последна редакция: Oct 09, 2012, 19:45 от runtime »
Активен

geroy

  • Напреднали
  • *****
  • Публикации: 198
  • Distribution: Windows, NetBSD, Devuan
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #7 -: Oct 09, 2012, 20:01 »
~/ telnet 109.121.200.222 25
Trying 109.121.200.222...
Connected to novotechprom.com.
Escape character is '^]'.
220 novotechprom.com ESMTP
helo drun.com
250 novotechprom.com Hello 76.19.Globcom.Net [87.120.19.76], pleased to meet you
mail from: <test@test.com>
250 2.1.0 <test@test.com>... Sender ok
rcpt to: <drun@brum.com>
550 5.7.1 <drun@brum.com>... Relaying denied. Proper authentication required.

тоест няма open relay...

Както казах виж в спам мейлите от кой ip адрес е тръгнал спамa, ако не знаеш как копирай header-а тук и ще коментираме.

~/ host -t txt novotechprom.com
novotechprom.com has no TXT record

Нямаш spf запис а е хубаво да имаш ако искаш да изпращаш безпроблемно (прочети тук http://www.openspf.org/)

За spam block проверявам тук: http://www.dnsbl.info/ а твоето IP го няма там. Тоя сайт да не е поредната зарибявка от типа - попадаш автоматично а пък ако искаш си плати да те махнат (подобно на barracuda central ли какви бяха там)
Активен

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #8 -: Oct 09, 2012, 20:15 »
Единственото което виждам, че пуска е ако през телнет пратя писмо от домейна към адрес в домейна или

telnet 109.121.200.222 25
HELO novotechprom.com
MAIL FROM:petkov_v@novotechprom.com
RCPT TO:petkov_v@novotechprom.com
DATA
.

Това ми праща писмо и се релейва... Това как се оправя, че нещо по въпроса не намирам информация? :-D
предполагам има relay на localhost ама не намирам от къде да го спра :)



Цитат
Както казах виж в спам мейлите от кой ip адрес е тръгнал спамa, ако не знаеш как копирай header-а тук и ще коментираме.
Че аз не ги получавам как да им видя хейдъра? :-D Те си заминават явно и никак не мога да ги хвана от къде тръгват.


Цитат
оя сайт да не е поредната зарибявка от типа - попадаш автоматично а пък ако искаш си плати да те махнат (подобно на barracuda central ли какви бяха там)

Не вярвам защото и до yahoo ми ги връща с текс:  Deferred: 421 4.7.1 [TS03] All messages from 109.121.200.222 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html
Активен

geroy

  • Напреднали
  • *****
  • Публикации: 198
  • Distribution: Windows, NetBSD, Devuan
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #9 -: Oct 09, 2012, 20:35 »
Единственото което виждам, че пуска е ако през телнет пратя писмо от домейна към адрес в домейна или

telnet 109.121.200.222 25
HELO novotechprom.com
MAIL FROM:petkov_v@novotechprom.com
RCPT TO:petkov_v@novotechprom.com
DATA
.

Това ми праща писмо и се релейва... Това как се оправя, че нещо по въпроса не намирам информация? :-D
предполагам има relay на localhost ама не намирам от къде да го спра :)

хех
Никак не се оправя. Нали схемата е такава - мейл сървъра ти е openrelay за всички домейни които се поддържат на него. Задължително трябва да приема всички мейли за @novotechprom.com от където и да е. Както казах прочети за spf записите. Повечето от големите безплатни мейли (gmail със сигурност) проверяват дали имаш spf запис. В dns-a си описваш мейл сървърите от които може да се изпраща мейл със sender@@novotechprom.com. Когато получат такъв мейл отсрещният мейл сървър проверява дали идва от това IP което е записано в spf записа. Ако има разминаване мейла ти е спам. Ако нямаш такъв запис вероятността да те обявят за спамер се увеличава.

За инцидента, възможно е някой да е включил заразен лаптоп в мрежата. Ако не стане пак активен да го хванеш вероятно ще си остане мистерия :)
« Последна редакция: Oct 09, 2012, 20:38 от geroy »
Активен

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #10 -: Oct 09, 2012, 20:43 »
Ясно :)  [_]3

За TXT записа аднах това след цялото ми четене :)

v=spf1 mx/25 mx:novotechprom.com/25 -all

Дано съм нацелил записа, че малко не схванах нещата от 1-вия път  :)
« Последна редакция: Oct 09, 2012, 20:47 от runtime »
Активен

geroy

  • Напреднали
  • *****
  • Публикации: 198
  • Distribution: Windows, NetBSD, Devuan
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #11 -: Oct 09, 2012, 20:59 »
аз го правя с ipv4:
"v=spf1 ipv4:109.121.200.222 -all"
тоест само това ip може да изпраща мейл със sender@novotechprom.com
Активен

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #12 -: Oct 09, 2012, 21:19 »
Мда аз точно го бях променил така :) Благодаря много за помощта  [_]3 [_]3
Сега да мине ден-два да видя какво ще се случи :) Така или иначе доста неща направих и вече не знам какво става  ;D
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Re: Spam от локалната мрежа
« Отговор #13 -: Oct 09, 2012, 23:50 »
Това iptables .... -j DNAT --to-destination 192.168.0.1:25 не ми се нрави твърде. Вероятно има някаква полза ама по би ми харесало едно -j DROP :)
Пробвал ли си от някоя машина в мрежата да направиш "telnet mail.bg 25" ?
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Spam от локалната мрежа
« Отговор #14 -: Oct 10, 2012, 08:55 »
Да и се връзвам към моето smtp, а не на mail.bg дца кажем. DROP не мога да правя защото има 15 служителя с фирмени пощи :) Идеята е ако вирус спами през 25 порт от локалната через някое външно SMTP да не може да излезе и да се върже.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Spam в icq
Живота, вселената и някакви други глупости
misho_cg 0 1580 Последна публикация Jun 18, 2006, 15:25
от misho_cg
Борба със spam
Идеи и мнения
laskov 12 5352 Последна публикация Feb 26, 2007, 16:36
от laskov
Evolution и spam-филтър
Идеи и мнения
tolostoi 1 1886 Последна публикация Jan 26, 2008, 00:05
от tolostoi
Mail spam
Настройка на програми
Explisit 6 3087 Последна публикация Apr 29, 2008, 11:37
от laskov
Новини от антиSPAMерския фронт ...
Идеи и мнения
laskov 4 3199 Последна публикация Feb 05, 2013, 11:30
от ray