Я получил сообщение о нарушении от операторов dnsbl.de. Для меня это звучит так, как будто это не имеет ничего общего со мной, но, поскольку это слишком серьезно, я не хочу делать «догадки» и проверять, действительно ли это так.
Вот отрывок из письма, которое должно было пройти через мой сервер (IP-адреса заменены заполнителями):
Return-Path: <root@vicibox7.suse>
Received: from vicibox7.suse (static.12-34-56-78.example.tld [12.34.56.78] (may be forged))
by topixx1.b2.powerweb.de (8.14.5/8.14.1) with ESMTP id 016KERQF029825
for <XXX@XXX.XXX>; Thu, 6 Feb 2020 21:14:28 +0100
Received: by vicibox7.suse (Postfix, from userid 0)
id EBD62142B3FE; Wed, 4 Dec 2019 15:22:17 -0500 (EST)
Subject: Der Einweisungsprozess ist obligatorisch #DE1D22H11788Z9740018344514
X-PHP-Originating-Script: 0:eb.php
На рассматриваемом сервере вообще нет почтового сервера. Так что об открытом шлюзе не может быть и речи. На самом деле на сервере нет ничего, что могло бы отправлять что-либо через порт 25. Я единственный человек, у которого есть доступ к машине (через SSH). Единственная услуга, предоставляемая общественности, - это веб-сервис, который я написал сам. Таким образом, если это письмо действительно прошло через мой сервер, это будет означать, что кто-то получил несанкционированный доступ, и это, конечно, будет означать, что мне нужно принять решительные меры, например, переустановить всю машину с нуля, потому что кто знает, что что еще сделал злоумышленник?
Однако действительно ли это письмо прошло через мой сервер? Вот пара вещей, которые мне показались подозрительными:
Received: from vicibox7.suse
, но мой сервер не вызывается vicibox7.suse
. Даже не похоже. Однако IP-адрес после этого фактически мой. Поиск в Google имени приводит меня к VICIbox, который, кажется, относится к "VICIDIAL Call Center Suite", который является неизвестным мне программным обеспечением, а также указывает на сервер, который мне не принадлежит?Received
В заголовке указано «(может быть подделано)», поэтому, насколько я понимаю, это означает, что принимающий почтовый сервер не мог проверить, действительно ли почта пришла с указанного сервера, и вся «полученная» -запись могла быть поддельной.X-PHP-Originating-Script: 0:eb.php
, так что, похоже, это указывает на то, что письмо было создано каким-то PHP-скриптом. На моем сервере даже не установлен PHP.Конечно, я проверил файлы журналов (/ var / log / *) своего сервера и не нашел ничего необычного. Я также проверил статистику трафика, предоставленную оператором дата-центра. Обычно мой сервер производит около 1-2 ГБ исходящего трафика в день, так что в любом случае не очень много. Я ожидал, что кто-то, кто захватит мой сервер, отправит много писем и, таким образом, вызовет значительно больше трафика. Однако никаких шипов не видно. Трафик просто нормальный.
Я проверил ps aux
для процессов, которых не должно быть и проверено netstat -a
. Ничего такого, чего я бы там не ожидал.
Затем я использовал следующее, чтобы блокировать возможные попытки отправки писем через порт 25 и регистрировать их с помощью iptables:
iptables -N LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP
iptables -A OUTPUT -p tcp --destination-port 25 -j LOGGING
Я проверил, работает ли он, используя netcat google.com 25
и это немедленно создает запись журнала в / var / log / syslog. Так что теоретически это работает. Я смотрел системный журнал в течение нескольких часов, но больше не выводил журнал из моего iptables-Script.
Кажется, меня это не коснулось. Однако на веб-сайте dnsbl.de говорится: «Пожалуйста, убедитесь, что наша система блокирует только почтовый сервер, с которого мы получали спам от наших клиентов». Я надеюсь, что их программное обеспечение лучше, чем их грамматика ;-). В немецкой версии текста даже употребляется слово «доказано». Означают ли они на самом деле: «Пожалуйста, убедитесь, что наша система блокирует только те почтовые серверы, которые, как утверждается, прошли некоторые случайные электронные письма, независимо от того, откуда они на самом деле»? Сервис, который можно так легко обмануть, был бы бесполезен, не правда ли? Так что может я где-то ошибаюсь.
Я также проверил http://www.anti-abuse.org и 2 из 53 DNSBL-сервисов, перечисленных на этом сайте, также занесены в черный список моего IP-адреса (ix.dnsbl.manitu.net и truncate.gbudb.net). Не уверен, хороший это знак или плохой.
Что вы об этом думаете? Может ли это насилие быть реальным?
Я думаю, что ваш сервер скомпрометирован или ваш веб-сервис позволяет отправлять почту неавторизованным лицам. Я бы проверил ваш код и перестроил сервер.
Дело в том, что первая Received:
В заголовке есть ваш IP, который меня беспокоит. Второй, вероятно, подделка.
topixx1.b2.powerweb.de на самом деле является почтовым ретранслятором.
Что касается того, почему ваш IP-адрес появляется в некоторых DNSBL: возможно, ваш сервер отправил другой спам или кому-то, у кого был ваш IP-адрес до того, как вы использовали его для рассылки спама.