У меня странная проблема, и мне интересно, может ли кто-нибудь мне помочь, потому что я действительно не знаю, что еще делать.
Я администрирую сервер Linux (Fedora 17) для компании SMB (~ 100 компьютеров в локальной сети). Этот сервер обрабатывает электронную почту (Postfix), DNS, Интернет, FTP, SQL и т. Д.
Короче говоря, проблема началась два дня назад, когда я заметил, что мы занесены в черный список на cbl.abuseat.org. Я был удивлен, потому что в течение более 8 лет я администрировал множество серверов для многих крупных / средних компаний, поэтому я ДУМАЛ, что кое-что знаю о безопасности электронной почты ... очевидно, я был неправ.
Прежде всего, несколько деталей: IP-адрес сервера электронной почты имеет запись PTR (RDNS), и я настроил SPF, DomainKeys, DKIM, DMARC, серые списки. Порты 25 и 53 (TCP / UDP) заблокированы для всех компьютеров в локальной сети, и ведение журнала активировано. Когда я проверил журнал, НИЧЕГО не было. Никакие компьютеры в локальной сети не пытались отправить электронную почту. Но затем я проверил CBL, и вот что говорится в их сообщении:
Этот IP заражен () спам-ботом cutwail>. Другими словами, он участвует в ботнете. у нас есть два метода обнаружения сбиваний. Один из методов - обнаружение спама, который рассылает Cutwail. Другой метод не работает. Это означает, что даже если вы> заблокируете исходящий порт 25 от серверов, не являющихся почтовыми, в вашей локальной сети, мы все равно сможем обнаружить> заражение cutwail в вашей локальной сети. Это означает, что если вы реализуете ограничения на порт 25>, вы должны реализовать ведение журнала, чтобы вы могли определять, какие внутренние машины> блокируются им и, таким образом, вероятно, являются зараженными.
Итак ... позвольте мне сказать прямо: даже если зараженный компьютер не может отправлять поддельные сообщения электронной почты, мой IP-адрес все равно будет занесен в черный список? Хорошо, сначала я был очень зол, но, имея еще несколько общедоступных IP-адресов, я немедленно преобразовал всю локальную сеть на совершенно другой общедоступный IP-адрес, просто чтобы очистить первый, чтобы у меня было больше времени для расследования. Как и ожидалось, второй IP-адрес был занесен в черный список в считанные минуты, и я также удалил первый IP-адрес из черного списка. Предположим, что 88.88.88.88 - это первый IP, а 88.88.88.89 - второй IP. Итак, теперь мой POSTROUTING в iptables выглядел примерно так:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.11.0/24 -j SNAT --to-source 88.88.88.89
Итак, вы могли бы подумать, что первый IP-адрес, который также указан как MX, теперь должен быть в безопасности, верно? НЕПРАВИЛЬНО ... Через 3 часа первый IP-адрес был указан снова, хотя, как я уже сказал, вся локальная сеть теперь преобразована в NAT через второй. Я начал думать, что сервер был взломан, но после тщательной проверки (tripwire, wirehark, netstat и т. Д.) Я исключил эту возможность. Я также попытался снова удалить IP-адрес через 12 часов, и снова через несколько часов он был повторно включен. О, я забыл добавить, что мы также просканировали несколько компьютеров в локальной сети (те, которые мы сочли подозрительными), но мы не обнаружили заражения с помощью 3 различных антивирусных программных продуктов. Кто-нибудь знает, что может вызвать это, потому что я действительно не знаю, что еще попробовать. Спасибо!
Проблема решена. Действительно, в сети был компьютер со странными запросами http / dns, и после запуска нескольких антивирусных программ были обнаружены и удалены два трояна, а затем занесение в черный список прекратилось. Я предполагаю, что первый IP-адрес (который также был основным DNS-сервером) продолжал попадать в черный список из-за странных DNS-запросов к различным IP-адресам по всему миру.