Problem ze spamem

Zagadnienia bezpieczeństwa w systemie
SeaDog
Posty: 52
Rejestracja: 13 grudnia 2008, 09:27

Problem ze spamem

Post autor: SeaDog »

Cześć!

Padłem ofiarą SPAMU. Mój serwer VPS próbuje rozsyłać SPAM z kont i na konta nieistniejące.
Załączam jeden z setek otrzymanych maili przekierowanych z postmaster@

Kod: Zaznacz cały

Transcript of session follows.

Out: 220 mail.mojadomena.pl ESMTP Postfix (Debian/GNU)
In:  EHLO mqzehadi
Out: 250-mail.mojadomena.pl
Out: 250-PIPELINING
Out: 250-SIZE 15728640
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH PLAIN LOGIN
Out: 250-AUTH=PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME Out: 250 DSN
In:  MAIL FROM:[EMAIL="[email protected]"]<[email protected]>[/EMAIL]
Out: 250 2.1.0 Ok
In:  RCPT TO:[EMAIL="[email protected]"]<[email protected]>[/EMAIL]
Out: 250 2.1.5 Ok In:  DATA
Out: 354 End data with <CR><LF>.<CR><LF>
Out: 451 4.3.0 Error: queue file write error In:  QUIT
Out: 221 2.0.0 Bye
Na pokładzie mamy: OS: Debian 7.5, Nginx, PHP, MySQL, Postfix, Dovecot, SASL, Spamassassin, phpMyAdmin, PostfixAdmin.

Na serwer skierowane są dwie domeny. Zauważyłem, że kiedy zmienię ścieżkę katalogu jednej z domen i zrestartuję Nginx-a
a po wejściu na stronę zobaczę 404 - Not Found, następnie skasuję kolejkę maili, wszystko wraca do normy.
Wychodzi na to, że ta domena jest bombardowana setkami maili. Ponieważ wszystkie usługi korzystają z bazy danych MySQL,
po kilku sekundach aktywności tej domeny, wszystko pada. Jak mogę rozwiązać ten problem?

Jest to serwer produkcyjny, więc bardzo proszę o szybką pomoc.
mariaczi
Member
Posty: 1343
Rejestracja: 08 lutego 2008, 12:58
Lokalizacja: localhost@śląskie

Post autor: mariaczi »

1. Na serwerze poczty zezwalaj na wysyłkę tylko autoryzowanych użytkowników.
2. Jeśli stronę/y masz na jakimś CMSie otwartym (free) sprawdź czy nie zostały zainfekowane pliki (wstrzyknięty kod do plików php oraz jakieś inne dodatkowe pliki).
3. Dostęp do bazy MySQL ogranicz tylko do localhosta i ew. do tych IP, którym ufasz - potrzebujesz połączenia. IMHO lepiej skonfiguruj sobie pod to np. VPNa albo możesz skorzystać z tunelowania jakie posiada ssh.
4. Obserwuj logi skąd/co generuje nadmierny ruch.
5. PostfixAdmin'a zabezpiecz dodatkowo choćby BasicAuth
SeaDog
Posty: 52
Rejestracja: 13 grudnia 2008, 09:27

Post autor: SeaDog »

Dziękuję za odpowiedź. Dwa dni mi zajęło rozwiązanie problemu (miejmy nadzieję, jak na razie jest OK. TCPdump nic nie pokazuje).
Tak myślałem, że coś było ze stroną. Twoje słowa się potwierdziły. Ktoś wszedł sobie do panelu Joomli i wgrał swoje pliki do katalogu images.
Ten ma z kolei cmod 777 więc skrypty się wykonały i poszło. Zmieniłem hasło i poprosiłem właściciela o zmianę hasła na mocniejsze.

Teraz interesuje mnie dlaczego mam tyle uśpionych procesów i to po restarcie.

Kod: Zaznacz cały

28043      root       localhost                    0  Query show full processlist                                      
     25916   postfix localhost:44430    postfix        31  Sleep                                                            
     27094   postfix localhost:51078    postfix        47  Sleep                                                            
     27095   postfix localhost:51084    postfix        47  Sleep                                                            
     27096   postfix localhost:51085    postfix        47  Sleep                                                            
     27097   postfix localhost:51086    postfix        47  Sleep 
Postfix działa prawidłowo, ale dlaczego tak dziwnie?
mariaczi
Member
Posty: 1343
Rejestracja: 08 lutego 2008, 12:58
Lokalizacja: localhost@śląskie

Post autor: mariaczi »

Tak się domyślałem, że może być tam joomla. Sama zmiana hasła to tylko kawałek zabiegu. Nakaż też aktualizację core CMSa jak również i rozszerzeń których używają. Przejrzyj również pliki po dacie modyfikacji dla tego zainfekowanego vhosta. W samym katalogu images to może być tylko kawałek infekcji.
Kolejna sprawa. Poszukaj jak skonfigurować vhosty, abyś miał domeny odseparowane od siebie. Pozwoli Ci to uniknąć również sporo problemów (na skróty - taki fjuczer ma np. ISPConfig3).
Co do aktualnego zachowania postfixa to sprawdź kolejkę i zrestartuj go i sprawdź czy "sleep" wróci. Jeśli tak, zerkaj w logi ;)
Awatar użytkownika
getRoot
Posty: 3
Rejestracja: 04 sierpnia 2016, 12:54
Lokalizacja: 127.0.0.1

Re: Problem ze spamem

Post autor: getRoot »

Dla potomnych, zgadzam się z poprzednikiem ale sama aktualizacja nie zawsze daje wiele, ponieważ uodparniamy oprogramowanie a w katalogach CMS może mieć w wielu miejscach już tylne furtki pozostawione: http://haker.edu.pl/2015/09/23/wirus-na ... php-shell/.
Awatar użytkownika
marcin1982
Moderator
Posty: 1731
Rejestracja: 05 maja 2011, 12:59
Lokalizacja: Zagłębie Dąbrowskie

Re: Problem ze spamem

Post autor: marcin1982 »

getRoot

Na przyszłość - proszę nie odpowiadać w starych wątkach.
ODPOWIEDZ