Я прошел через это: Spamhaus XBL продолжает добавлять мой IP
Я управляю сервером 23.239.30.81 в Ubuntu с помощью Postfix.
За последние 6 месяцев я начал пересылать все свои:
на мой единственный адрес электронной почты Hotmail.
Но две недели назад он был внесен в черный список Spamhaus ZEN & CBL. Но теперь я изменил электронную почту с hotmail на один частный почтовый сервер MS Exchange.
Но все равно через 3 дня снова добавляется в черный список.
С года у меня также есть настройка мониторинга электронной почты с помощью скрипта cron с использованием pflogsumm который сообщает мне, если количество отправленных писем в день превышает 300. Но их не так много, и только что я проверил вечером 18:30 и вижу только 93
Теперь я добавил "always_bcc=myemai@privatecompany.com"в Postfix main.cf чтобы я мог видеть все исходящие электронные письма с этого сервера. Вот снимки этих писем.
Спама нет. Я вижу, что (помимо вышеперечисленных):
Я пересылаю электронные письма на частные почтовые серверы, почему Spamhaus ZEN и CBL могут видеть эти электронные письма (за исключением подписок и ответов на форумы), чтобы снова занести этот IP в черный список?
Я отправил электронное письмо на адрес cbl [@] abuseat.org, но получил только автоматический ответ, чтобы проверить систему на вирусы и т. Д.
Я также запустил систему с помощью антивируса clamAV.
Все ответы на форуме и электронные письма о подписке и активации содержат информацию об отказе от подписки. Однако журналов ошибок нет.
Что я мог упустить?
Обновить: Я ограничил отправку писем только через Postfix: Правило брандмауэра разрешает Postfix отправлять электронную почту только через SMTP на порт 25. и у меня есть копия всех писем и нет спама. Тем не менее, примерно через 15 часов он был повторно включен в четвертый раз.
Сегодня (8 декабря) я получил ответ от CBL:
IP 23.239.30.81 заражен спам-ПО, последнее обнаруженное по адресу:
2015: 12: 04 ~ 14: 30 UTC +/- 15 минут (примерно 3 дня, 3 часа, 59 минут назад)
Этот хост HELOed как [127.0.0.1] ... Пожалуйста, исправьте это.
Я прихожу поздно, но:
IP-адрес 23.239.30.81 не указан в CBL.
Ранее он был в списке, но был удален в 2015-12-07 18:46 по Гринвичу (1 день, 5 часов, 1 минута назад). Во время удаления это было объяснением этого списка:
Этот IP-адрес заражен (или настроен через NAT для зараженного компьютера) спам-ботом kelihos. Другими словами, он участвует в ботнете.
Если вы просто удалите листинг, не убедившись, что заражение удалено (или защищено NAT), он, вероятно, снова будет повторен.
Когда это произошло с нами, это произошло потому, что клиент подключил зараженный ноутбук к нашей сети. Гостевая сеть отделена от нашей основной сети, но по-прежнему проходит через NAT через тот же IP-адрес, что и наш обычный трафик, включая наш почтовый сервер.
Похоже, вы используете общий хостинг. Если вы разделяете IP-адрес, возможно, что один из других хостов действительно заражен. Если да, то это может быть случай для поддержки хостинга. Но хорошая новость в том, что вас больше нет ни в одном списке.
Я настоятельно рекомендую еще раз пройтись по веб-сайтам CBL и Spamhuas, потому что на них есть вся информация, необходимая для начала поиска и устранения неисправностей и защиты вашего сервера. Информация там может помочь вам понять как работает процесс внесения в черный список и почему он попадает в список, а также дает советы по обеспечению безопасности сервера, чтобы избежать внесения в черный список.
Я просто процитирую несколько важных частей из CBL, остальное вы можете проверить сами. Дело в том, поскольку вы снова и снова попадаете в список, ваш сервер, скорее всего, скомпрометирован и не связан с вашим постфиксом. Теперь нужно разобраться и выяснить возможную причину.. Это может быть руткит, троян, спам-бот или другой вредоносный скрипт. Вам необходимо провести полное сканирование вашей системы на предмет возможных проблем. Как только вы найдете настоящую причину, вы сможете решить проблему и предпринять необходимые шаги, чтобы избежать ее повторения.
Вот из CBL:
Что CBL?
CBL берет свои исходные данные из установок очень большого почтового сервера (SMTP). Некоторые из них являются серверами для спам-ловушек, а некоторые нет.
В CBL перечислены только IP-адреса, обладающие характеристиками, характерными для открытых прокси-серверов различных типов (HTTP, socks, AnalogX, wingate, прокси-серверы обратного вызова Bagle и т. подвергались злоупотреблениям для рассылки спама, червей / вирусов, которые осуществляют свою собственную прямую почтовую рассылку, или некоторых типов троянских коней или «скрытых» спам-программ, сборщиков почты со словарями и т. д.
Я использую Linux (FreeBSD, OpenBSD, UNIX ...) и НЕ МОГУ заразиться с вирусом!
Хотя совершенно верно, что UNIX-подобные операционные системы почти НИКОГДА не заражаются Windows-вирусами, существует ряд вирусоподобных вещей, которым подвержены UNIX-подобные системы. Например:
- Программы эмуляции Windows (например, VMWARE или Wine) так же подвержены заражению, как и родная Windows. На самом деле, вероятно, несколько более вероятно, что экземпляр эмулятора Windows заразится, потому что тот факт, что он работает под другой операционной системой, может привести к ложному чувству безопасности, а экземпляры эмулятора с меньшей вероятностью будут защищены полной антивирусной защитой. -вирусный пакет.
- Открытые прокси (например, небезопасные конфигурации Squid), ведущие к рассылке спама через прокси.
- Уязвимости или компрометации веб-сервера. Например, троян DarkMailer / DirectMailer внедряется через FTP (с использованием скомпрометированных идентификаторов пользователя / паролей) на веб-серверы и после этого используется для рассылки очень больших объемов спама. Практически все веб-серверы подвержены этому, если они разрешают загрузку контента из Интернета.
- Уязвимости приложений: многие приложения имеют уязвимости безопасности, особенно связанные с PHP на веб-серверах. Например: старые версии Wordpress, PHPNuke, Mamba и т. Д. Некоторые из этих уязвимостей заключаются в том, что злоумышленник может установить на ваш компьютер полный прокси / троянский спамер и управлять им удаленно. Благодаря этому они могут настроить механизмы рассылки спама, открытые прокси-серверы, загрузку вредоносных программ и перенаправители спама. Следите за созданием странных каталогов, особенно тех, которые начинаются с "." в / тмп. Проверьте это, выполнив "ls -la" в / tmp, и найдите имена каталогов, начинающиеся с "." (кроме самих «.» и «..»).
Для устранения неполадок и защиты
КРАЙНЕ ВАЖНО, чтобы все веб-приложения или инфраструктуры приложений (Wordpress, Joomla, Cpanel и т. Д.) Сохранялись. полностью пропатчен и обновлен. Furthmore, ИД пользователя / пароли и прочее учетные данные для входа в такие системы должны быть высоко защищенный, требуют надежных паролей и меняются как можно чаще.
Такие сайты должны предусматривать постоянный мониторинг сети, ftp и других подсистем.
Руткиты Это место, где злоумышленник установил программное обеспечение на ваш компьютер и закопал его таким образом, чтобы обычные системные утилиты не могли его найти. В некоторых случаях они заменяют обычные системные утилиты взломанными версиями, которые не показывают своих следов.
Убедитесь, что у вас есть надежные пароли с возможностью удаленного входа (например: телнет, FTP, SSH), проверьте свои журналы на наличие большого количества неудачных попыток входа в систему / SSH / telnet.
Рассмотрите возможность запуска детектора "модификации системы", например Tripwire или Rkhunter. Tripwire предназначен для обнаружения и сообщения о модификации важных системных программ. Рхюнтер делает то же, что и Tripwire, но ищет определенные руткиты, небезопасные версии системного программного обеспечения и многое другое. Не все вирусы являются двоичными файлами Windows. Некоторые вирусы / черви находятся в файлах уровня приложений с использованием небинарных методов программирования (таких как макровирусы, Java, PHP или Perl). Они могут быть действительно заразными кроссплатформенными.
Подробнее о MailServer в CBL: Почтовый сервер в CBL
От Spamhuas:
Что такое «угон прокси»? Что мне нужно знать о прокси?
Что такое «приманка» или «прокси-пот»? Что такое «источник перехвата прокси» или «C&C»?
@ Katherine-vilyard предоставила вам очень конкретную информацию (от CBL) о том, почему ваш сервер идентифицируется как рассылающий спам: он определяется как рассылающий спам из-за заражения спам-ботом kelihos.
Вы говорите, что у вас есть исходящий порт 25 с брандмауэром, поэтому только postfix может его использовать. Мы не можем проверить, правильно ли это, если, например, вы не предоставите нам результат sudo iptables -L -v. Может, вы там ошиблись, а может, почта действительно проходит через postfix. Возможно, в вашей системе есть спам-бот, у которого на вашем сервере достаточно разрешений, чтобы обойти это. например запустив как postfix. Возможно, вы рассылаете спам, а не выступаете в качестве источника. Похоже, вы знаете о проблемах пересылки спама и ждете их.
Похоже, вы можете ограничить хост назначения для соединений через порт 25? Если возможно, сделайте это.
Если почта проходит через postfix, используя вашу обычную конфигурацию, она будет зарегистрирована. У вас есть очень конкретная временная метка, на которую нужно смотреть (от CBL). Вам следует приступить к поиску этого электронного письма или, по крайней мере, получить всю информацию о нем из ваших журналов электронной почты. Немного о HELO 127.0.0.1 должно быть важным ключом к разгадке - ваш сервер postfix обычно делает это? Если нет, скорее всего, почта не прошла через ваш почтовый сервер. Я предполагаю, что это так.
Вы не должны думать, что ваш сервер postfix, записывающий исходящую почту, достаточно. Как насчет захвата всего трафика на порту 25 с помощью tcpdump -i any -w dumpfile port 25 а потом через это проходишь? Было бы полезно просмотреть это для отметки времени, которую идентифицирует CBL. Ищите почтовые подключения к неожиданному месту назначения. Сравните время подключений с отметками времени, которые вы видите в своих журналах. (Да, я знаю, что опускаю детали того, как обрабатывать файл дампа. Может быть полезен Wireshark, а также ngrep).
Насколько я понимаю, Kelihos заражает компьютеры с windows. Это означает, что ваш сервер действует как своего рода ретранслятор, а не источник. Вы используете через него VPN? Вы используете его для ретрансляции собственной исходящей почты? Вы уверены, что его нельзя использовать в качестве ретранслятора другим хостом?
Если вы используете CBL, скорее всего, это не проблема с вашим Postfix. CBL не перечисляет MTA с открытой ретрансляцией, а содержит серверы, которые являются «прокси-серверами для спама». Последние часто исходят из веб-скриптов или других программ, которые были загружены с использованием некоторых дыр в безопасности.
Поскольку это стек LAMP, я бы начал с проверки, нет ли PHP-бэкдора-скрипта. Проверьте, есть ли в ваших каталогах данных, которые доступны для записи PHP (или другим обработчикам сценариев, если они есть), какие-либо файлы сценариев. Обычно только выбранные каталоги ваших веб-приложений PHP должны быть доступны для записи, за исключением пользователя root, убедитесь, что он настроен таким образом. На уровне веб-сервера создайте каталоги данных, чтобы обслуживать только файлы с безопасными расширениями (изображения, документы и т. Д., никогда любые скрипты). Обновите (или, если возможно, обновите) файлы сценария веб-приложения.
Не повредит также защитить порт 465 / TCP, как вы это делали с 25 / TCP.