spammerek szállták meg a gépet (Debian Lenny)

Linux-haladó

Sziasztok!

Az a gyönyörű dolog történt, hogy valamilyen módon (nem virtual userrel, és nem www-data segítségét hívva) kiküldtek egy rakás spam-et a szerverről.

a logban az alábbi olvasható milliószor:

a hibaüzenet ilyen:
Dec 21 13:04:50 srv postfix/smtpd[19963]: lost connection after RCPT from domain.hu[xxx.xxx.xxx.xxx]
Dec 21 13:04:50 srv postfix/smtpd[19963]: disconnect from domain.hu[xxx.xxx.xxx.xxx]
Dec 21 13:04:50 srv postfix/smtpd[19761]: connect from domain.hu[xxx.xxx.xxx.xxx]
Dec 21 13:04:50 srv postfix/smtpd[19761]: NOQUEUE: reject: RCPT from domain.hu[xxx.xxx.xxx.xxx]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=

aztán van, amikor sikerül elküldenie egy a gépen nem létező email címről. Ami igazán aggaszt, az az hogy nem localhosttal, hanem az ip címünkkel csatlakozik.

Ha valakinek van vmi okos ötlete, arra kérem ossza meg.

  • 1932 megtekintés

( kovacsj | 2009. 12. 22., k – 18:38 )

Biztos, hogy ezek kimenő levelek? Az xxx.xxx.xxx.xxx a te IP-címed?

( pero | 2009. 12. 22., k – 18:40 )

a log szerint csak probaltak kuldeni, de nem sikerult: relay access denied
nemde?

igen, de volt, ahova sikerült csak nehéz kikresni, mert nem rövid a log. A fekete listára felkerültem és az xxx.xxx.xxx.xxx az én ip címem, a domain.hu pedig az én domainem, aminek a reverse ip-je az xxx.xxx.xxx.xxx

a durva az, hogy a postfix config nem engedi, hogy a virtual usersben nem létező címről levelet küldjön, mégis megteszi.

( lacika v | 2009. 12. 22., k – 19:36 )

Miért nem használsz SMTP auth-ot?
Két lehetőséget látok:
1. még is csak rosszul van konfigurálva a postfix-ed
2. bugra futottál
Az előbbiet tartom befutónak.

--
http://laszlo.co.hu/

Ha van backup-od, akkor esetleg összehasonlíthatod azt a szerveren lévő fájlokkal. Ilyet én még nem csináltam, de én így próbálkoznék.
Egyébkén szerintem sehogy máshogy nem tudsz minden kétséget kizáróan meggyőződni.

Miből gondolod, hogy nem csak a web mappában tevékenykedtek? Van bármi jele?

OK, de SMTP auth akkor is jó lenne ez ellen, nem? Ha valaki a saját oldalán szeretne php-n vagy bármi más programmal levelet küldeni webes alkalmazáson keresztül, jelzi feléd igényét, létrehozol neki egy dedikált e-mail fiókot kellően erős jelszóval és már is könnyebb lesz beazonosítani illetve megelőzni az efféle jelenségeket.

--
http://laszlo.co.hu/

En wrapper-t teszek inkabb, aztan hasznaljak azt, mint sendmail ;).
A usereknek fel sem tunik, viszont konnyen beazonosithato a kuldo, foleg, ha logolast is teszunk bele.

Ha meg felraknak ilyen scriptet ugyis igy probal meg kuldeni, egybol latszik.
PHP-ba is van patch amivel a header-be belehetirni, hogy mi kuldte a levelet, bar ez meg egy szarul megirt oldalnal gaz.

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)

Igen, ez is lehet jó megoldás, de ez "csak" a beazonosítást teszi egyszerűbbé, de megelőzni nem biztos hogy megelőzi, de tény, hogy ügyfél szempontjából ez a kényelmesebb. S mint tudjuk, mindent a kedves ügyfélért :). Azért ezt senki ne vegye komolyan a kockázati tényezők mérlegelése nélkül.

--
http://laszlo.co.hu/

Strong jelszo van beallitva az smtp-re csak smtp auth-tal kuldhet a php programbol emailt. Hol taroljuk a jelszot? NA hol??? Oh igen valamelyik file-ban. Szal ha en kuldeni szeretnek rola, fogok tudni ugy kuldeni, mint az illetekes.
Lehetseges a wrapperbe olyan finomsagokat is beletenni, mint plusz ellenorzesek (orankent mennyit kuldhet, milyen email cimekre stb).

De azert kivancsi vagyok, hogy te hogy oldanad meg a dolgot. Szal milyen olyan biztos dolgot tudsz, amivel kitudsz vedeni egy olyat, hogy ha hulye user site-jat feltorik (bugos php kod, vagy ftp jelszot megszerzik) te hogyan tudod megelozni azt, hogy kikuldjon valaki tomenytelen mennyisegu spamet (ok, mint fentebb irtam maximum mennyi emailt kuldhet ki x ido alatt, de ezen kivul).

Raksz oda spam szurot kifele meno levelekhez, mert az majd jol megfogja? Mi van, ha veletlenul olyanra szursz amit eppen ki akart kuldeni? :)
Szal kerlek mondj mar el valami okossagot, kivancsi vagyok, latom neked van par eves tapasztalatod ilyen teren.

Ja igen tudok egy tuti megoldast, de erdekel a tied.
Enyem:
Senki nem kuldhet levelet, max majd keres az egyen valami kulso smtp-t, de akkor szinten kuldhet ki spamet azon a relayen keresztul. Na akkor azt is letiltjuk :).

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)

Raksz oda spam szurot kifele meno levelekhez, mert az majd jol megfogja? Mi van, ha veletlenul olyanra szursz amit eppen ki akart kuldeni? :)

Ilyen esetben ki lehet probalni valamilyen fingerprint alapu cuccot, ami az ismert spamekre harap, es a jo leveleknek csak egeszen minimalis reszet azonositja spamkent. Probald ki a cloudmark cuccat vagy a spamsum-ot.

Amugy valoban nehez az ilyet megfogni, amikor egy 'legitim' usered ontja a szemetet...

SPAMtelenül - MX spamszűrő szolgáltatás, ahogyan még sosem próbálta

Strong jelszo van beallitva az smtp-re csak smtp auth-tal kuldhet a php programbol emailt

Ezt nem említetted, "csak" egy wrappert írtál.

Hol taroljuk a jelszot? NA hol??? Oh igen valamelyik file-ban.

Hol? Pl. adatbázisban cryptelve, de semilyen körülmények között nem plain textben. Mert ha már az adatbázist is megtördelik, akkor ott több probléma is van.

Szal milyen olyan biztos dolgot tudsz, amivel kitudsz vedeni egy olyat, ...

Nincs biztos receptem erre, csak ötletmorzsákat hoztam itt fel és a véleményemet közöltem. 100%-os védelem semmi ellen nincs. Vagyis egy van, ha nincs is szervered, amit védeni kellene ;)

--
http://laszlo.co.hu/

Amit te felvetettel, hogy legyen smtp auth, aztan authentikalnak, arra valaszoltam, hgy akkor mar inkabb wrapper-t teszek el, aztan lehet szabalyozni jol a dolgot. No meg nyomon kovetni. Lehet latni, hogy melyik script csinalta a spamkuldest, mig smtp auth-nal nem.

Adatbazisban cryptelve taroljuk. Az adatbazishoz szinten hozza kell fernie a php programban. Olyan cryptelest lehet csak hasznalni ami visszafejtheto. Ha nem akarja a kedves user minden egyes alkalommal a kulcsot maga megadni - marpedig miert adna meg - akkor szinten le kell valahol tarolni azt a kulcsot amely az adatbazisban tarolt titkositott jelszot visszafejti. Szerintem felesleges plusz munka, ugyis warez xp-je van, aztan az ftp-jet lenyuljak, meg az osszes jelszavat amit valaha is valahova beutott.

Igen 100%-os vedelem nincsen. Torekedni meg max ugy tudsz, ha kiveded magad az ugyfelektol (hosting kornyezetben). Lehet tiltani sok dolgot, akkor meg nem fognak teged valasztani, mivel szamukra a kenyelem az elso. Logolni kemenyen pont emiatt kell, minnel jobban, hogy ha valamelyik okos lesz, akkor le lehessen teremteni.

Amugy az ilyen ftp-s dolgok ellen is lehet felkeszulni, mondjuk ugy, hogy csak magyarorszagrol engedjuk csatlakozni az illetoket, de ez meg szinten problema, hogyha kulfoldon van (vagy UPC-s az ugyfel :])

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)