Титла: Spam от локалната мрежа Публикувано от: runtime в Oct 08, 2012, 19:30 Здравейте,
Дайте някаква идея как да прихвана кое IP от локалната бълва спам. Някой явно е триперясъл и не мога да го докопам кой е.. Сканирах всичките компютри от домейна но продължава гадината от една седмица на сам и не мога да изляза от листата. Пробвах с tcpdump tcpdump -i eth2 -s 0 -w spam-packets.log port 25 or port 587 or port 993 и после да проследя трафика от портовете tcpdump -r spam-packets.log -vvv -XX -A | less Дори и да извадя само адресите от връзките пак не виждам ненормални показания tcpdump -r spam-packets.log -vvv -XX -A | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' ама нищо не мога да открия дето да бълва постоянно. На пръв поглед всичко е в границите на нормалното ( от време на време някой си праща писанце и прехвърча по някой пакет ) Нямам релей на интерфейса и всичките се удостоверяват през saslauth. За това за сега изключвам варианта някой да се е закачил към SMTP-то. За SMTP ползвам sendmail + saslauth + spamassissan От 1 седмицата IP repotation ми е 1-7 от нормални 100 :) Някой да си има на идея някой инструмент за снифене на тафика и анализиране, че да го надуша от кое IP идва? Така или иначе си мисля, че ако е от локалната на вън трябва да се връзва към 25 порт независимо кой е на вируса и би следвало да го покаже ако дъмпя на 25 ама нещо може и аз да съм в грешка... :) Мрежата е WAN <---> SERVER <---> LOCAl NET ( SMTP, HTTP, etc. ) Дистрото е Slackware 13.37 Sendmail - 8.14.4 SASL - 8.13.1 За протокола съм спрял mail() функцията в PHP както и shell_exec etc. Титла: Re: Spam от локалната мрежа Публикувано от: geroy в Oct 08, 2012, 19:56 Е виж му header на писмото от кое IP идва. Може да заразен компютър който се пуска периодично...
Титла: Re: Spam от локалната мрежа Публикувано от: laskov в Oct 08, 2012, 23:03 Доколкото разбирам, сървърът на картинката е и GW за мрежата. Добави едно правило във FORWARD таблицата на защитната стена, с което да спираш всички изходящи към порт 25 и си готов.
След това, по статистиките за блокираните пакети ще се ориентираш дали сме уцелили. Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 09, 2012, 16:44 С малко помощ се справихме :) [_]3
1-во пренасочих всчкия трафик от локалната на порт 25 към сървъра ( да не излиза ) iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 25 -j DNAT --to-destination 192.168.0.1:25 2-ро в php.ini забраних почти всички ненужни функции disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,mail и за сега май точките взеха да се вдигат. Благодаря на отзовалите се, ако нещо пак се закучи ще драсна. [_]3 Титла: Re: Spam от локалната мрежа Публикувано от: nemanema в Oct 09, 2012, 16:53 Здрасти,
По спомен open relay не трябва да е активен в 8.14.4, но за статистиката не е лошо да се провери. При проверките защо не проверяваш и 465 ? Според мен, за да гепиш "наглеца" трябва да спреш всякакъв трафик от локалната навън. Web-а да е през прокси. Мейл-а да се пренасочи към SSL портовете на сървъра и да се следи за неоторизиран опит за изпращане. Сканирането от домейн-а не е ефективно според мен, ако не е с платени профи инструменти. Прозорците могат да си разменят "триперливите" глупости и със самия домейн и да си ги държат там докато тече проверката на локалния акаунт, а в последствие да си се възстанови и да те заобикаля. Незнам колко са ти машините, но най-чисто си е да се откачат дисковете на локалните машини и да се проверяват в "стерилна" среда, като се закачат в работно състояние, а не да се стартира машината, която ще проверява. Успех ! Титла: Re: Spam от локалната мрежа Публикувано от: laskov в Oct 09, 2012, 18:37 ...Незнам колко са ти машините, но най-чисто си е да се откачат дисковете на локалните машини и да се проверяват в "стерилна" среда, като се закачат в работно състояние, а не да се стартира машината, която ще проверява....Е, чак пък да се откачат дискове... Стартира се системата напр. с AVG Rescue CD ($2) и се сканира... А пощенски сървър може да се тества с Mail relay testing ($2) и с инструментите от www.dnsstuff.com ($2) Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 09, 2012, 19:36 Цитат
Тъй релей няма. Сложих clamav-milter + spass-milter. Пренасочих всяка заявка на порт 25 към сървъра за да не излиза навън. Спрях mail() функцията и другите по-горе в php.... Тествах и за rootkit - няма обаче точките пак падат >:D ;D ;D IP: 109.121.200.222 Някой ако му се тества ще съм му благодарен за релей :) Невъзможно ми се струва вече по някакъв начин да излизат писма. Вече се чудя дали тоя сайт не се е**ва с мен: https://www.senderscore.org/lookup.php?lookup=109.121.200.222&ipLookup=Go П.С. на тоя сайт http://www.abuse.net/relay.html - CGI скрипта му го няма [_]3 Титла: Re: Spam от локалната мрежа Публикувано от: geroy в Oct 09, 2012, 20:01 ~/ telnet 109.121.200.222 25
Trying 109.121.200.222... Connected to novotechprom.com. Escape character is '^]'. 220 novotechprom.com ESMTP helo drun.com 250 novotechprom.com Hello 76.19.Globcom.Net [87.120.19.76], pleased to meet you mail from: <test@test.com> 250 2.1.0 <test@test.com>... Sender ok rcpt to: <drun@brum.com> 550 5.7.1 <drun@brum.com>... Relaying denied. Proper authentication required. тоест няма open relay... Както казах виж в спам мейлите от кой ip адрес е тръгнал спамa, ако не знаеш как копирай header-а тук и ще коментираме. ~/ host -t txt novotechprom.com novotechprom.com has no TXT record Нямаш spf запис а е хубаво да имаш ако искаш да изпращаш безпроблемно (прочети тук http://www.openspf.org/) За spam block проверявам тук: http://www.dnsbl.info/ а твоето IP го няма там. Тоя сайт да не е поредната зарибявка от типа - попадаш автоматично а пък ако искаш си плати да те махнат (подобно на barracuda central ли какви бяха там) Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 09, 2012, 20:15 Единственото което виждам, че пуска е ако през телнет пратя писмо от домейна към адрес в домейна или
telnet 109.121.200.222 25 HELO novotechprom.com MAIL FROM:petkov_v@novotechprom.com RCPT TO:petkov_v@novotechprom.com DATA . Това ми праща писмо и се релейва... Това как се оправя, че нещо по въпроса не намирам информация? :-D предполагам има relay на localhost ама не намирам от къде да го спра :) Цитат Както казах виж в спам мейлите от кой ip адрес е тръгнал спамa, ако не знаеш как копирай header-а тук и ще коментираме.Че аз не ги получавам как да им видя хейдъра? :-D Те си заминават явно и никак не мога да ги хвана от къде тръгват. Цитат оя сайт да не е поредната зарибявка от типа - попадаш автоматично а пък ако искаш си плати да те махнат (подобно на barracuda central ли какви бяха там) Не вярвам защото и до yahoo ми ги връща с текс: Deferred: 421 4.7.1 [TS03] All messages from 109.121.200.222 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html Титла: Re: Spam от локалната мрежа Публикувано от: geroy в Oct 09, 2012, 20:35 Единственото което виждам, че пуска е ако през телнет пратя писмо от домейна към адрес в домейна или хех Никак не се оправя. Нали схемата е такава - мейл сървъра ти е openrelay за всички домейни които се поддържат на него. Задължително трябва да приема всички мейли за @novotechprom.com от където и да е. Както казах прочети за spf записите. Повечето от големите безплатни мейли (gmail със сигурност) проверяват дали имаш spf запис. В dns-a си описваш мейл сървърите от които може да се изпраща мейл със sender@@novotechprom.com. Когато получат такъв мейл отсрещният мейл сървър проверява дали идва от това IP което е записано в spf записа. Ако има разминаване мейла ти е спам. Ако нямаш такъв запис вероятността да те обявят за спамер се увеличава. За инцидента, възможно е някой да е включил заразен лаптоп в мрежата. Ако не стане пак активен да го хванеш вероятно ще си остане мистерия :) Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 09, 2012, 20:43 Ясно :) [_]3
За TXT записа аднах това след цялото ми четене :) v=spf1 mx/25 mx:novotechprom.com/25 -all Дано съм нацелил записа, че малко не схванах нещата от 1-вия път :) Титла: Re: Spam от локалната мрежа Публикувано от: geroy в Oct 09, 2012, 20:59 аз го правя с ipv4:
"v=spf1 ipv4:109.121.200.222 -all" тоест само това ip може да изпраща мейл със sender@novotechprom.com Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 09, 2012, 21:19 Мда аз точно го бях променил така :) Благодаря много за помощта [_]3 [_]3
Сега да мине ден-два да видя какво ще се случи :) Така или иначе доста неща направих и вече не знам какво става ;D Титла: Re: Spam от локалната мрежа Публикувано от: laskov в Oct 09, 2012, 23:50 Това iptables .... -j DNAT --to-destination 192.168.0.1:25 не ми се нрави твърде. Вероятно има някаква полза ама по би ми харесало едно -j DROP :)
Пробвал ли си от някоя машина в мрежата да направиш "telnet mail.bg 25" ? Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 10, 2012, 08:55 Да и се връзвам към моето smtp, а не на mail.bg дца кажем. DROP не мога да правя защото има 15 служителя с фирмени пощи :) Идеята е ако вирус спами през 25 порт от локалната через някое външно SMTP да не може да излезе и да се върже.
Титла: Re: Spam от локалната мрежа Публикувано от: laskov в Oct 10, 2012, 09:19 Аз ти предложих да правиш DROP на пакети към 25-ти порт, преминаващи през таблицата FORWARD. Тези, които са предназначени за фирмения ти пощенски сървър идват в таблицата INPUT и ще продължат да си идват.
Титла: Re: Spam от локалната мрежа Публикувано от: nemanema в Oct 10, 2012, 09:29 Здрасти,
Добави към DNS-а под ТХТ: IN SPF "v=spf1 mx mx:novotechprom.com -all" Времената са малко ниски, може да се коригират на 3600. Добре е и да се добави DKIM - http://www.dkim.org/ Mail сървъра, не е open relay. Не е в спам листи. При външна проверка не отговаря : - STARTTLS failed on host mail.novotechprom.com (109.121.200.222), STARTTLS extension not supported by server. Нищо видимо, което да дразни отвън. Отвътре, пак да повторя за порт 465 с пренасочване и следене на трафика. Успех ! Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 10, 2012, 13:43 Тъй, след цялата еквилибристика която направих вече уж не съм спамер [_]3 ^-^
Поне във всички листи освен ония сайт ме няма, от което следва, че ония нещо ме будалкат :) Мерси на всички, другия път вече няма да оставям нещата така малко безотговорно :) Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 11, 2012, 15:27 Значи да обобщя >:D
Пощата е конфигурирана с: DKIM + SPF + SpamAssassin + ClamAV + RBL Check + SASL Auth Няма релей Всички пароли са сменени + root Спрях сайта за два дена Сложих следните правила в IP tables: iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 25 -j DNAT --to-destination 192.168.0.1:25 iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 465 -j DNAT --to-destination 192.168.0.1:465 iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 587 -j DNAT --to-destination 192.168.0.1:587 iptables -A INPUT -p tcp -m multiport --destination-ports 25,586,465 -j LOG iptables -A OUTPUT -p tcp -m multiport --destination-ports 25,586,465 -j LOG Добавих само определени IP да имат достъп до SSH с hosts.allow/deny Затворих половината излишни портове :) Инсталирах си SendmailAnalyzer - няма нищо смущаващо като изходящи пощи :) За целия месец са: Изпратени: 113 Получени: 890 Отхвърлени поради спам: 97 Логвах и трафика - нищо смущаващо на порт 25 Проверявах с кво ли не за rootkit Спирах всички компове от локалната за ден! ------------------------------------------------------------------------------------------------------------- Равносметката е че в този сайт точките се не вдигат: цък ($2) Вече си мисля, че тия определено се гъбаркат с мен ;D Обаче ако вярвам на този: http://postmaster.aol.com/Reputation.php Reputation: Bad то определено нещо продължава да си спами ли не спами ;D ;) Събота ще спра и SMTP-то за ден-два и ако продължи да си пада и да съм в листата то напускам работа и повече с администриране няма да се занимавам >:D ::) ;D ;D [_]3 Че работата вече отива на скубане на косите и удряне на главата в стената... Ако някой има още някоя идея ще съм благодарен да я сподели :) П.С. В php 5.3.17 дерективата disable_functions= не се е*ва за такава...Изобщо не я чете и не забранява вградените функции :) За това реших да дам два дена почивка на сайта ама нъцки :) Не беше от там... Титла: Re: Spam от локалната мрежа Публикувано от: laskov в Oct 11, 2012, 16:35 На оня сайт пише, че точките се "влошават", когато някой някъде по света получи спам писмо и го докладва на доставчика си на пощенската услуга като спам. Не прочетох как се "подобряват", но мисля, че му "се връзваш" повече отколкото е полезно. Казаха ти няколко пъти, а и ти виждаш, че IP-то ти не е в черните списъци за спам.
Титла: Re: Spam от локалната мрежа Публикувано от: geroy в Oct 11, 2012, 16:54 Както казах има такива сайтове който автоматично влизаш с кофти репутация и каквото и да правиш все е лоша и някъде там има линк където ти казват: "ако искаш плати тука едни пари и ще те махнем".
Клъвнеш ли... сещай се сам :) Титла: Re: Spam от локалната мрежа Публикувано от: laskov в Oct 11, 2012, 17:18 Ти би имал проблем, ако твоите писма се разпознават от другите пощенски сървъри като спам и се поставят в специалните за спам папки или пък се отказват. Доколкото разбирам, ти нямаш такива оплаквания.
Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 11, 2012, 17:21 Имах до вчера с yahoo, aol и още няколко. Днес "Уж" минават навсякъде :)
Както и да е оставям нещата да отлежат до понеделник и ще видя. След два дена ме чака изпит "Теория на алгоритмите" и мисля да се отдам на книгите [_]3 П.С. Трябваше да опиша действията по настройката на пощата че поне щеше да има една статия в повече ама пфу забравих :) Титла: Re: Spam от локалната мрежа Публикувано от: runtime в Oct 12, 2012, 19:44 Всичко върви вече... Благодаря за помощта!
Другата седмица ще инсталирам една виртуалка и ще повторя всичко, като ще го опиша и пусна в статиите, че да не си блъска главата някой с подобрен проблем. И без това ме е подгонил мерака, а и отдавна не съм пускал нищо в статиите :) Титла: Re: Spam от локалната мрежа Публикувано от: Gogo_SZ в Oct 22, 2012, 14:14 Проблема ти се казва RBL Check и въобще идеята за RBL Check.
Ония папуняци още не могат да приемат, че събжекта на писмото например може да е на кирилица и.....<SPAM> Ползваш непозната кодова таблица като windows-1251 и .....<SPAM> Не си плащаш никоя от платените им услуги.... Така, че идеята за RBL Check или някой от подобните му списъци е по принцип добра, но проблема с настройките кое е spam и кое не е става почти нерешим. От опит - средно на 2-3 месеца висваш в някой списък и се налага да им пишеш гневни писма или да плащаш, за да се оправиш... Титла: Re: Spam от локалната мрежа Публикувано от: laskov в Oct 22, 2012, 17:30 ...Ако събжекта е съставен например така: Цитат Subject: =?UTF-8?B?UmU6INCb0LjQvdGD0LrRgSDQsiDQnNCT?=не би трябвало да имаш проблем. Някои пощенски клиенти (май) не посочват (правилно) кодовата таблица. |