Üdv,
Volna egy szerver, ahol csak és kizárólag levél kiküldésére van használva postfix.
Kintről nem is nyitott a levelező szerver, sem port sem szolgáltatás szinten.
PHP alapú egyedi fejlesztésű webes projectek futnak a gépen, amelyekhez minimális mértékben
van használva a levelezés. Ennek ellenére nap mint nap betalál egy két érdekes kísérlet, aminek
nem találom a forrását.
Íme egy rövid részlet a naplófájlokból:
Nov 5 05:48:22 szerverneve postfix/smtpd[12975]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link1
Nov 5 09:37:56 szerverneve postfix/smtpd[14428]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link2
Nov 5 09:41:55 szerverneve postfix/smtpd[15563]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link3
Nov 5 09:42:19 szerverneve postfix/smtpd[15563]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link4
Nov 5 09:43:22 szerverneve postfix/smtpd[15563]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link5
Át lett vizsgálva a szerver és eddig nem találtam nem oda illő programot.
Egyesével a webes projectek is át lettek nézve tartalmilag illetve a hozzá tartozó adatbázis.
Sehol semmi kapcsolat az SMTP hívásokhoz.
Valaki ehhez hasonlóval találkozott régebben vagy mostanság?
Egyetlen tippem van, hogy valami bot program játszik a tcp fejlécekkel és így találnak be.
- 2252 megtekintés
Hozzászólások
Nincs véletlenül egy HTTP proxy is a gépen?
- A hozzászóláshoz be kell jelentkezni
Nincs.
Összevettettem az időket +/- 5-10 mp időközökkel és így se találtam érdemlegeset.
Sőt, hogy továbbmenyjek mivel minden fájlról készül ellenőrző kód így még a fájlok észrevétlen módosítás is nehézkesen megoldható.
A webszerver ráadásul chrootban fut egy hardened kernel alatt.
- A hozzászóláshoz be kell jelentkezni
Ez spammelési kísérlet (a postból sem ártana az url-eket kiszedni, ne legyen nekik reklám), az érdekes az, hogy miért 127.0.0.1 a forrás. Nincs pl. ASSP, vagy más szűrő a postfix előtt? Esetleg apache-ban bekapcsolt mod_proxy?
- A hozzászóláshoz be kell jelentkezni
Viagrás linkek kiszedve :D
Ezek a modulok vannak bekapcsolva: (szerver infó szerint)
mod_php5.c, mod_macro.c, mod_chroot.c, mod_vhost_alias.c, mod_usertrack.c, mod_unique_id.c, mod_status.c, mod_setenvif.c, mod_rewrite.c, mod_negotiation.c, mod_mime_magic.c, mod_mime.c, mod_logio.c, mod_log_config.c, mod_info.c, mod_include.c, mod_imagemap.c, mod_ident.c, mod_headers.c, mod_filter.c, mod_ext_filter.c, mod_expires.c, mod_env.c, mod_dir.c, mod_deflate.c, mod_dbd.c, mod_cgi.c, mod_autoindex.c, mod_authz_user.c, mod_authz_owner.c, mod_authz_host.c, mod_authz_groupfile.c, mod_authz_default.c, mod_authz_dbm.c, mod_authn_file.c, mod_authn_default.c, mod_authn_dbm.c, mod_authn_dbd.c, mod_authn_anon.c, mod_auth_digest.c, mod_auth_basic.c, mod_alias.c, mod_actions.c, mod_so.c, http_core.c, prefork.c, core.c
Gyakorlatilag pedig a proxy modul nincs engedélyezve config szerint se.
Szűrő nincs a postfix előtt mivel eleve csak kiküldésre használjuk a postfixet. Fogadni nem fogad kintről a szerver levelet.
Illetve nem is figyel a 25-ös porton a public interfacen.
No meg tűzfalból is le van tiltva. :D
- A hozzászóláshoz be kell jelentkezni
Szerintem ezt valamelyik php-s cucc csinalja. A connect() engedelyezve van nekik?
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Localhostról persze tudnak kapcsolódni php alól. Feltéve, hogy erre gondolsz.
Viszont a kódban semmiféle nyomát se találtam az apache logok alapján ilyen jellegű hackenk.
- A hozzászóláshoz be kell jelentkezni
"Localhostról persze tudnak kapcsolódni php alól. Feltéve, hogy erre gondolsz."
Igen, de nem a mail()-re (mert az ugye elviekben nem nagyon csinalhat nem valid smtp commandot), hanem a php-s connect()-re.
"Viszont a kódban semmiféle nyomát se találtam az apache logok alapján ilyen jellegű hackenk."
Ez viszonylag egyszeruen kizarhato: probalj meg beloni egy iptables-t, hogy logoljon ownert/pidet minden loopbacken kozlekedo tcp/25 syn-re.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Nem csak a 25-ös porton tudja csinálni, ha meg tudja hívni a levelező rendszer binárisát helyileg.
Mégiscsak az MTA által jelzett időpontban skubiznám az apache logokat. Ha nagy forgalmú a szerver és hétvégén is mennek a spam-ek, akkor az egy jó nap lehet a könnyebb keresgélésre.
Az gondolom kevésbé vállalható, hogy egy időre megakadályozd a levélküldést és a PHP hibával térjen vissza. Akkor talán beszédesebb hibaüzenetek jelenhetnének meg a php beállításaitól függően.
Üdv,
Dw.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
Sz*r valamelyik site-on a PHP kód, azon keresztül próbálgatják elérni az SMTP szervert.
mod_security, Suhosin, mondanak valamit ezek a szavak? :)
--
Q: What's the difference between Lem's Solaris and Sun's Solaris?
A: One's an alien presence that drives all who encounter it mad, and the other one's been made into a movie by Andrei Tarkovsky.
- A hozzászóláshoz be kell jelentkezni
Használatban is vannak. :D
- A hozzászóláshoz be kell jelentkezni