Linux за българи: Форуми

Здравейте,

Дайте някаква идея как да прихвана кое IP от локалната бълва спам.
Някой явно е триперясъл и не мога да го докопам кой е.. Сканирах всичките компютри от домейна но продължава гадината от една седмица на сам и не мога да изляза от листата.

Пробвах с tcpdump

tcpdump -i eth2 -s 0 -w spam-packets.log port 25 or port 587 or port 993

и после да проследя трафика от портовете

tcpdump -r spam-packets.log -vvv -XX -A | less

Дори и да извадя само адресите от връзките пак не виждам ненормални показания

tcpdump -r spam-packets.log -vvv -XX -A | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'

ама нищо не мога да открия дето да бълва постоянно. На пръв поглед всичко е в границите на нормалното ( от време на време някой си праща писанце и прехвърча по някой пакет )

Нямам релей на интерфейса и всичките се удостоверяват през saslauth.  За това за сега изключвам варианта някой да се е закачил към SMTP-то. За SMTP ползвам sendmail + saslauth + spamassissan

От 1 седмицата IP repotation ми е 1-7 от нормални 100 :)

Някой да си има на идея някой инструмент за снифене на тафика и анализиране, че да го надуша от кое IP идва?
Така или иначе си мисля, че ако е от локалната на вън трябва да се връзва към 25 порт независимо кой е на вируса и би следвало да го покаже ако дъмпя на 25 ама нещо може и аз да съм в грешка... :)



Мрежата е

WAN       <--->               SERVER               <--->               LOCAl NET
                             ( SMTP, HTTP, etc. )


Дистрото е Slackware 13.37
Sendmail -  8.14.4
SASL  -  8.13.1



За протокола съм спрял mail() функцията в PHP както и shell_exec etc.

Е виж му header на писмото от кое IP идва. Може да заразен компютър който се пуска периодично...

Доколкото разбирам, сървърът на картинката е и GW за мрежата. Добави едно правило във FORWARD таблицата на защитната стена, с което да спираш всички изходящи към порт 25 и си готов.
След това, по статистиките за блокираните пакети ще се ориентираш дали сме уцелили.

С малко помощ се справихме :)  [_]3

1-во пренасочих всчкия трафик от локалната на порт 25 към сървъра ( да не излиза )
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 25 -j DNAT --to-destination 192.168.0.1:25

2-ро в php.ini забраних почти всички ненужни функции
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,mail

и за сега май точките взеха да се вдигат. Благодаря на отзовалите се, ако нещо пак се закучи ще драсна.  [_]3

Здрасти,
По спомен open relay не трябва да е активен в 8.14.4, но за статистиката не е лошо да се провери.
При проверките защо не проверяваш и 465 ?
Според мен, за да гепиш "наглеца" трябва да спреш всякакъв трафик от локалната навън. Web-а да е през прокси. Мейл-а да се пренасочи към SSL портовете на сървъра и да се следи за неоторизиран опит за изпращане.
Сканирането от домейн-а не е ефективно според мен, ако не е с платени профи инструменти. Прозорците могат да си разменят "триперливите" глупости и със самия домейн и да си ги държат там докато тече проверката на локалния акаунт, а в последствие да си се възстанови и да те заобикаля.
Незнам колко са ти машините, но най-чисто си е да се откачат дисковете на локалните машини и да се проверяват в "стерилна" среда, като се закачат в работно състояние, а не да се стартира машината, която ще проверява.

Успех !

...Незнам колко са ти машините, но най-чисто си е да се откачат дисковете на локалните машини и да се проверяват в "стерилна" среда, като се закачат в работно състояние, а не да се стартира машината, която ще проверява....

Е, чак пък да се откачат дискове... Стартира се системата напр. с AVG Rescue CD ($2) и се сканира...
А пощенски сървър може да се тества с Mail relay testing ($2) и с инструментите от www.dnsstuff.com ($2)

SMTP Reverse Dns    OK - 109.121.200.222 resolves to novotechprom.com
SMTP Reverse DNS Mismatch    OK - Reverse DNS matches SMTP Banner
SMTP TLS    Warning - Does not support TLS.
SMTP Connection Time    0 seconds - Good on Connection time
SMTP Open Relay    OK - Not an open relay.
SMTP Transaction Time    2.215 seconds - Good on Transaction Time


EHLO please-read-policy.mxtoolbox.com
250-novotechprom.com Hello mxtb-pws3.mxtoolbox.com [64.20.227.133], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH LOGIN PLAIN
250-DELIVERBY
250 HELP [172 ms]
MAIL FROM: <supertool@mxtoolbox.com>
250 2.1.0 <supertool@mxtoolbox.com>... Sender ok [406 ms]
RCPT TO: <test@example.com>
550 5.7.1 <test@example.com>... Relaying denied. Proper authentication required. [234 ms]
QUIT
221 2.0.0 novotechprom.com closing connection [187 ms]

Тъй релей няма. Сложих clamav-milter + spass-milter. Пренасочих всяка заявка на порт 25 към сървъра за да не излиза навън. Спрях mail() функцията и другите по-горе в php....
Тествах и за rootkit - няма

обаче точките пак падат   >:D ;D ;D

IP: 109.121.200.222  Някой ако му се тества ще съм му благодарен за релей :)
Невъзможно ми се струва вече по някакъв начин да излизат писма.

Вече се чудя дали тоя сайт не се е**ва с мен: https://www.senderscore.org/lookup.php?lookup=109.121.200.222&ipLookup=Go

П.С. на тоя сайт http://www.abuse.net/relay.html  - CGI скрипта му го няма  [_]3

~/ telnet 109.121.200.222 25
Trying 109.121.200.222...
Connected to novotechprom.com.
Escape character is '^]'.
220 novotechprom.com ESMTP
helo drun.com
250 novotechprom.com Hello 76.19.Globcom.Net [87.120.19.76], pleased to meet you
mail from: <test@test.com>
250 2.1.0 <test@test.com>... Sender ok
rcpt to: <drun@brum.com>
550 5.7.1 <drun@brum.com>... Relaying denied. Proper authentication required.

тоест няма open relay...

Както казах виж в спам мейлите от кой ip адрес е тръгнал спамa, ако не знаеш как копирай header-а тук и ще коментираме.

~/ host -t txt novotechprom.com
novotechprom.com has no TXT record

Нямаш spf запис а е хубаво да имаш ако искаш да изпращаш безпроблемно (прочети тук http://www.openspf.org/)

За spam block проверявам тук: http://www.dnsbl.info/ а твоето IP го няма там. Тоя сайт да не е поредната зарибявка от типа - попадаш автоматично а пък ако искаш си плати да те махнат (подобно на barracuda central ли какви бяха там)

Единственото което виждам, че пуска е ако през телнет пратя писмо от домейна към адрес в домейна или

telnet 109.121.200.222 25
HELO novotechprom.com
MAIL FROM:petkov_v@novotechprom.com
RCPT TO:petkov_v@novotechprom.com
DATA
.

Това ми праща писмо и се релейва... Това как се оправя, че нещо по въпроса не намирам информация? :-D
предполагам има relay на localhost ама не намирам от къде да го спра :)

Както казах виж в спам мейлите от кой ip адрес е тръгнал спамa, ако не знаеш как копирай header-а тук и ще коментираме.

Че аз не ги получавам как да им видя хейдъра? :-D Те си заминават явно и никак не мога да ги хвана от къде тръгват.

оя сайт да не е поредната зарибявка от типа - попадаш автоматично а пък ако искаш си плати да те махнат (подобно на barracuda central ли какви бяха там)

Не вярвам защото и до yahoo ми ги връща с текс:  Deferred: 421 4.7.1 [TS03] All messages from 109.121.200.222 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html

Единственото което виждам, че пуска е ако през телнет пратя писмо от домейна към адрес в домейна или

telnet 109.121.200.222 25
HELO novotechprom.com
MAIL FROM:petkov_v@novotechprom.com
RCPT TO:petkov_v@novotechprom.com
DATA
.

Това ми праща писмо и се релейва... Това как се оправя, че нещо по въпроса не намирам информация? :-D
предполагам има relay на localhost ама не намирам от къде да го спра :)

хех
Никак не се оправя. Нали схемата е такава - мейл сървъра ти е openrelay за всички домейни които се поддържат на него. Задължително трябва да приема всички мейли за @novotechprom.com от където и да е. Както казах прочети за spf записите. Повечето от големите безплатни мейли (gmail със сигурност) проверяват дали имаш spf запис. В dns-a си описваш мейл сървърите от които може да се изпраща мейл със sender@@novotechprom.com. Когато получат такъв мейл отсрещният мейл сървър проверява дали идва от това IP което е записано в spf записа. Ако има разминаване мейла ти е спам. Ако нямаш такъв запис вероятността да те обявят за спамер се увеличава.

За инцидента, възможно е някой да е включил заразен лаптоп в мрежата. Ако не стане пак активен да го хванеш вероятно ще си остане мистерия :)

Ясно :)  [_]3

За TXT записа аднах това след цялото ми четене :)

v=spf1 mx/25 mx:novotechprom.com/25 -all

Дано съм нацелил записа, че малко не схванах нещата от 1-вия път  :)

аз го правя с ipv4:
"v=spf1 ipv4:109.121.200.222 -all"
тоест само това ip може да изпраща мейл със sender@novotechprom.com

Мда аз точно го бях променил така :) Благодаря много за помощта  [_]3 [_]3
Сега да мине ден-два да видя какво ще се случи :) Така или иначе доста неща направих и вече не знам какво става  ;D

Това iptables .... -j DNAT --to-destination 192.168.0.1:25 не ми се нрави твърде. Вероятно има някаква полза ама по би ми харесало едно -j DROP :)
Пробвал ли си от някоя машина в мрежата да направиш "telnet mail.bg 25" ?

Да и се връзвам към моето smtp, а не на mail.bg дца кажем. DROP не мога да правя защото има 15 служителя с фирмени пощи :) Идеята е ако вирус спами през 25 порт от локалната через някое външно SMTP да не може да излезе и да се върже.

Аз ти предложих да правиш DROP на пакети към 25-ти порт, преминаващи през таблицата FORWARD. Тези, които са предназначени за фирмения ти пощенски сървър идват в таблицата INPUT и ще продължат да си идват.

Здрасти,
Добави към DNS-а под ТХТ:
IN SPF "v=spf1 mx mx:novotechprom.com -all"
Времената са малко ниски, може да се коригират на 3600. Добре е и да се добави DKIM - http://www.dkim.org/
Mail сървъра, не е open relay. Не е в спам листи. При външна проверка не отговаря :
- STARTTLS failed on host mail.novotechprom.com (109.121.200.222), STARTTLS extension not supported by server.

Нищо видимо, което да дразни отвън. Отвътре, пак да повторя за порт 465 с пренасочване и следене на трафика.

Успех !

Тъй, след цялата еквилибристика която направих вече уж не съм спамер  [_]3 ^-^
Поне във всички листи освен ония сайт ме няма, от което следва, че ония нещо ме будалкат :)

Мерси на всички, другия път вече няма да оставям нещата така малко безотговорно :)

Значи да обобщя  >:D

Пощата е конфигурирана с:

DKIM + SPF + SpamAssassin + ClamAV + RBL Check + SASL Auth

Няма релей

Всички пароли са сменени + root

Спрях сайта за два дена

Сложих следните правила в IP tables:
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 25 -j DNAT --to-destination 192.168.0.1:25
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 465 -j DNAT --to-destination 192.168.0.1:465
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 587 -j DNAT --to-destination 192.168.0.1:587
iptables -A INPUT -p tcp -m multiport --destination-ports 25,586,465 -j LOG
iptables -A OUTPUT -p tcp -m multiport --destination-ports 25,586,465 -j LOG

Добавих само определени IP да имат достъп до SSH с hosts.allow/deny

Затворих половината излишни портове :)

Инсталирах си SendmailAnalyzer - няма нищо смущаващо като изходящи пощи :)
За целия месец са:
Изпратени: 113
Получени: 890
Отхвърлени поради спам: 97

Логвах и трафика - нищо смущаващо на порт 25

Проверявах с кво ли не за rootkit

Спирах всички компове от локалната за ден!

-------------------------------------------------------------------------------------------------------------

Равносметката е че в този сайт точките се не вдигат: цък ($2)
Вече си мисля, че тия определено се гъбаркат с мен  ;D

Обаче ако вярвам на този: http://postmaster.aol.com/Reputation.php
Reputation: Bad
то определено нещо продължава да си спами ли не спами  ;D ;)

Събота ще спра и SMTP-то за ден-два и ако продължи да си пада и да съм в листата то напускам работа и повече с администриране няма да се занимавам  >:D ::) ;D ;D [_]3
Че работата вече отива на скубане на косите и удряне на главата в стената...


Ако някой има още някоя идея ще съм благодарен да я сподели :)


П.С. В php 5.3.17 дерективата disable_functions= не се е*ва за такава...Изобщо не я чете и не забранява вградените функции :) За това реших да дам два дена почивка на сайта ама нъцки :) Не беше от там...

На оня сайт пише, че точките се "влошават", когато някой някъде по света получи спам писмо и го докладва на доставчика си на пощенската услуга като спам. Не прочетох как се "подобряват", но мисля, че му "се връзваш" повече отколкото е полезно. Казаха ти няколко пъти, а и ти виждаш, че IP-то ти не е в черните списъци за спам.

Както казах има такива сайтове който автоматично влизаш с кофти репутация и каквото и да правиш все е лоша и някъде там има линк където ти казват: "ако искаш плати тука едни пари и ще те махнем".

Клъвнеш ли... сещай се сам :)

Ти би имал проблем, ако твоите писма се разпознават от другите пощенски сървъри като спам и се поставят в специалните за спам папки или пък се отказват. Доколкото разбирам, ти нямаш такива оплаквания.

Имах до вчера с yahoo, aol и още няколко. Днес "Уж" минават навсякъде :)
Както и да е оставям нещата да отлежат до понеделник и ще видя. След два дена ме чака изпит "Теория на алгоритмите" и мисля да се отдам на книгите  [_]3


П.С. Трябваше да опиша действията по настройката на пощата че поне щеше да има една статия в повече ама пфу забравих :)

Всичко върви вече... Благодаря за помощта!

Другата седмица ще инсталирам една виртуалка и ще повторя всичко, като ще го опиша и пусна в статиите, че да не си блъска главата някой с подобрен проблем. И без това ме е подгонил мерака, а и отдавна не съм пускал нищо в статиите :)

Проблема ти се казва RBL Check и въобще идеята за RBL Check.
Ония папуняци още не могат да приемат, че събжекта на писмото например може да е на кирилица и.....<SPAM>
Ползваш непозната кодова таблица като windows-1251 и .....<SPAM>
Не си плащаш никоя от платените им услуги....

Така, че идеята за RBL Check или някой от подобните му списъци е по принцип добра, но проблема с настройките кое е spam и кое не е става почти нерешим. От опит - средно на 2-3 месеца висваш в някой списък и се налага да им пишеш гневни писма или да плащаш, за да се оправиш...

...
Ония папуняци още не могат да приемат, че събжекта на писмото например може да е на кирилица и.....<SPAM>
Ползваш непозната кодова таблица като windows-1251 и .....<SPAM>
...

Ако събжекта е съставен например така:

Subject: =?UTF-8?B?UmU6INCb0LjQvdGD0LrRgSDQsiDQnNCT?=

не би трябвало да имаш проблем. Някои пощенски клиенти (май) не посочват (правилно) кодовата таблица.