Gość normanos Zgłoś post Napisano Luty 20, 2006 Witam! Dzisiaj cos mnie zaatakowało i rozsyła spam. Pomóżcie mi zloalizować co to może byc bo mi się juz pomysły kończą no i co z tym zrobić. 1. open relaya z pewnością nie ma. testowałem wieloma narzędziami w sieci. w logach widać mase odrzuconego spamu. 2. maile chyba ida przez www-data co znaczy, że to pewnie przez mail(); w php. znalazłem jeden skrypt, który z pewnościa został zaatakoiwany (miał wlasne logi). skasowalem. 3. maile ida nadal ?!? skasowalem wszystko z kolejki postfixa. troche ciszy i znow jakieś gówno leci. 4. przyblokowałem przez mod_security wszystkie syfy jakie mozna przesłać w nagłówkach łącznie z bcc: itp. 5. troche logów: Feb 20 14:35:52 debian postfix/smtpd[25011]: connect from omr-d07.mx.aol.com[205.188.159.13] Feb 20 14:35:52 debian postfix/smtpd[25011]: E0E9925C253: client=omr-d07.mx.aol.com[205.188.159.13] Feb 20 14:35:53 debian postfix/cleanup[24945]: E0E9925C253: message-id=<200602200835.243f9c5b2310@om r-d07.mx.aol.com> Feb 20 14:35:53 debian postfix/qmgr[4766]: E0E9925C253: from=<>, size=804, nrcpt=1 (queue active) Feb 20 14:35:53 debian postfix/local[24946]: E0E9925C253: to=<www-data@mail.serv.pl>, relay=local, de lay=1, status=sent (delivered to command: procmail -a "$EXTENSION") Feb 20 14:35:53 debian postfix/qmgr[4766]: E0E9925C253: removed i spamy: Feb 20 14:30:13 debian postfix/smtp[22609]: AD05625C2B6: to=<dantabou@aol.com>, relay=mailin-01.mx.a ol.com[64.12.137.249], delay=58303, status=sent (250 OK) Feb 20 14:30:13 debian postfix/smtp[22609]: AD05625C2B6: to=<dapeopleschamp34@aol.com>, relay=mailin -01.mx.aol.com[64.12.137.249], delay=58303, status=sent (250 OK) przyblokowałem troche ipków ale tego jest sporo. jakies pomysły? ps. jak przyblokować całkowicie wysylanie poczty do aol.com? Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Luty 20, 2006 Nie mam w tej chwili zbyt wiele czasu na to aby się zastanawiać nad rozwiązaniem... ale napiszę Ci tak jak zablokować maile do AOL: 1) jeśli go nie masz, to stwórz plik /etc/postfix/access_recipient 2) dodaj w nim wpis: aol.com REJECT buuu 3) postmap /etc/postfix/access_recipient 4) w pliku /etc/postfix/main.cf, w sekcji recipient_restrictions dodaj wpis: check_recipient_access hash:/etc/postfix/access_recipient 5) /etc/init.d/postfix reload gotowe P.S. tak na wszelki wypadek zrób jeszcze ten test: telnet relay-test.mail-abuse.org Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość normanos Zgłoś post Napisano Luty 20, 2006 @bellerofont: dzięki, zrobiłem jak napisałeś i nic. podążyłem tym tropem i skorzystałem jeszcze z porad http://www.postfix.org/securityportal.2000...et20001122.html i tez niestety nic. wysylam sobie maila na test@aol.com i spokojnie dostaje zwrotke z aola. mail jest wysyłany :/ Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Luty 20, 2006 Masz rację. Sprawdziłem to u siebie i też nie zadziałało. Najwyraźniej w ten sposób można tylko blokować wiadomości przychodzące "do nas". Hmmm... Niech no pomyślę... Rozwiązanie tymczasowe, a nawet 2 do wyboru: 1) php.ini -> disable_functions -> dodaj mail -> /etc/init.d/apache2 restart 2) iptables -A OUTPUT -d klasa.adresow.ip.aol/24 -j DROP a w między czasie zerknij do manuala Postfixa, bo to niemożliwe aby ten daemon nie miał funkcji blokowania domen dla "ruchu wychodzącego", a ja wracam do kuchni bo mi się kotlety przypalają... Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość normanos Zgłoś post Napisano Luty 20, 2006 stary, mi żona na tydzień wyjechała a ty mi o kotletach?!? "od trzech dni nie miałem nic w ustach" (seksmisja) tak, z pewnościa da się jakoś przyblokowac i wychodzący ruch. troche przetrzepałem newsgrupy ale jak na razie nic nie zadziałało. A teraz to nawet nie wiem czy bede mógł to sprawdzić bo aol wysłał mi ostrzeżenie 1. nie chce blokowac maila w php bo mi wszystko siądzie. kilka for, sklepów etc. wszystko wysyła maile. poza tym od szukania syfu w POST mam mod_security, które teraz powinno to wyłapać. ostatni log jest z 6 rano. skrypty pokasowalem a spam poszedł potem jeszcze z kilka razy cholera wię jakim sposobem. nie wyglądało to już na bezposrednie przejscie przez POST/GET w php. 2. juz porzyblokowałem wiekszość adresów AOLa i to chyba na razie pomogło bo od 14 nic sie nie rozesłało. tak czy inaczej problem pewnie nadal istnieje. pozabezpieczalem wszystko wg. kilku roznych fajnych manuali o bezpieczeństwie postfixa i jak widac to za mało. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Luty 20, 2006 Blokowanie poczty... blokowaniem, ale jeżeli Twój serwer to nie open-relay, do tego zablokowałeś w php funkcję mail, a coś cały czas wysyła śmieci via user www-data, to pewnie masz jakieś świństwo na dysku. Innej opcji w tej chwili nie widzę, aczkolwiek mogę się mylić bo robię teraz kilka rzeczy na raz, a mój kernel działa bardzo niestabilnie przy load average powyżej 1.5. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość normanos Zgłoś post Napisano Luty 20, 2006 nie, funkcji mail nie blokowalem. potrzebna mi jest. system poskanowalem kilkoma rootkithunterami i nic nie znalazły niepokojącego. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Luty 20, 2006 No dobra. Nie masz syfu, zaś php(mail) potrzebujesz... Jakiś czas temu na tym forum Adam Szendzielorz prosił o jakiś szkielet w Perlu do... Odszukaj ten temat, pójdz za linkiem, bo tam jest prosty i ciekawy skrypt(łącznie ze sposobem instalacji), który zapisuje do logów adres każdego skryptu który coś wysyła, a po małych przeróbkach(mi to zajęło kiedyś 15 minut, a z Perla jestem prawie zielony) można go dostosować tak aby zapisywał wszystko co możliwe w sposób jaki tylko wymyślisz! Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość normanos Zgłoś post Napisano Luty 20, 2006 tak, widziałem skrypt rano. niestety nie działa mi, maile nie sa w ogóle wysyłane, w logu skryptu nic sie nie zapisuje, w logach systemowych nie ma zadnego bledu :/ nie znam sie na perlu więc nie wiem co mi tu nie gra :/ szkoda, ze w logahc nic nie ma naprowadzającego na blad. edit: okej znalazlem blad, logi sa zapisywane, zobaczymy co z tego bedzie po paru godzinach. btw: jak log sie zrobi ogromny to co, kasowac? Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Luty 20, 2006 Nie kasuj go. Przecież po to Ci ten skrypt abyś wiedział... Jak masz wszystko w jednym pliku, to go łatwiej później "przetwarzać", więc niech on się spokojnie rozrasta przez te pare godzin. Dla rozluźnienia atmosfery: Spam Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość normanos Zgłoś post Napisano Luty 20, 2006 przez pare godzin to pewnie. mailem na mysli dluzszy okres czasu Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Luty 20, 2006 Nie wiem, co Ty tam u siebie hostujesz, ale jak na mój gust to możesz i przez najbliższy tydzień logować wszystko jak leci, a jedyne co Cię dotknie to ciut wyższy load maszyny spowodowany uruchamianiem każdorazowo przy wysyłce wiadomośc skryptu w Perlu. No chyba że się mylę, a Ty ślesz 10 tyś. maili/godzina. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość normanos Zgłoś post Napisano Luty 20, 2006 nie nie.. niewiele tych maili z posiomu php idzie. glownie z for. teraz sie mecze z tym perlem aby wyciagnac troche wiecej informacji niz data i katalog.. ale slabo mi idzie (patrz watek Adama). Udostępnij ten post Link to postu Udostępnij na innych stronach
