PDA

Visualizza la versione completa : il mio server manda via spam! come lo fermo?


ghibux
02-12-2010, 18:18
Ciao a tutti
da giorni ormai ho un fenomeno di bordate di email che il mio server Linux Centos invia.

Sto cercando di capire la fonte (script, buco nel server, uso di un account mail)
Nel server ci sono intallati 75 siti con 250 account email

ecco cosa ho fatto

Analisi di QMAIL non mi da riferimenti x determinare da dove partono queste mail
Disattivato la possibilità a PHP (quindi a tutti gli script installati sul serer) di inviare email ma senza risultato
Bloccato totalmente da iptables il traffico INPUT sula porta TCP 25 , il fenomeno si è arrestato ma così i clienti non ricevono le email ai loro account mail presenti sul server



Ho visto che
Le email partono da account sconosciuti, verso account altrettanto sconosciuti

eccone una

Received: from myserver.ghibux.tld ([IPdelServer])
by ghibux.tld (ghibux.tld)
(MDaemon PRO v9.5.6)
with ESMTP id md50000326423.msg
for <yn_lj@yahoo.com>; Thu, 02 Dec 2010 15:46:24 +0100
Received: (qmail 21671 invoked from network); 2 Dec 2010 15:46:13 +0100
Received: from unknown (HELO lrwdj) (61.145.218.94)
by mysmtp.servexxx.tld with SMTP; 2 Dec 2010 15:46:12 +0100
From: =?GB2312?B?zfh8wud8ted8ytM5WFU4?= <imr@account.net>
Subject: =?GB2312?B?w+K30XzK1b+0fM7lx6fN+MLnted8ytPMqDEybFA =?=
To: yn_lhc@yahoo.com.cn
Content-Type: text/plain;
charset="GB2312"
MIME-Version: 1.0
Content-Transfer-Encoding: base64
Date: Thu, 2 Dec 2010 22:46:10 +0800
X-Spam-Processed: ghibux.tld, Thu, 02 Dec 2010 15:46:24 +0100
(not processed: message from trusted or authenticated source)
X-MDRemoteIP: IPdelServer
X-Return-Path: imr@account.net
X-Envelope-From: imr@account.net
X-MDaemon-Deliver-To: yn_lj@yahoo.com

w+K30b+0yKvH8jUwMDDN+MLntefK08a1tcAtyKvH8s34wue158 rTsqW3xcb3zNi82zk41KrIq7n6
w+LUy7fRu/W1vbi2v+6ju2pVVw0KDQq12squtv697Ln6vMq159G2sqnAwLvh 1bmz9tDCv8a8vLL6
xrctLcirx/LN+MLntefK01XFzLKlt8XG9yAgICBTZ2g5DQoxoaK8r8irx/I1MDAwzfjC57XnytPG
tbXAoaIyMDAwMM34wue158yoo6zWu9Kq09C158TUus2/7bT4o6y+zb/Jy+bS4sPit9G527+0o7sg
ICAgUFVtVg0KMqGisb6y+sa3uqwxMDC24Lj2uN/H5bXnytPGtbXAo6y/ydLU5sfDwNK6vqe158rT
o6y7rcPmu6rA9sH3s6mjuyAgICBWUU9rDQozoaKw/LqsyKu5+rTzsr+31s7AytOjrMjnuv7Ez87A
ytOjrLjbsMTMqLXIxr3KsbK7yN3S17+0tb21xLXnytPGtbXAo7 sgICAgMU9oMA0KNKGizfjC57Xn
ytNVxczJ6LzGo6zKudPDtefE1Ly0suWhory0v7Shory0zP2jrL y0z+3K3KOsx+HLybHjvd3KudPD
o7sgICAgVVJSTw0KNaGiysfRp8+w06LT76Git6jT76GitcLT76 GiyNXT77XI0+/R1LXEusO5pL7f
o6zJ7cHZxuS+s7XEzeLT79Gnz7C7t76zo7sgICAgUTFoMA0KNq Giv8nC+tfjueO088zl0/2wrrrD
1d/L5sqxy+a12MrVv7S5+s3ix/LI/NaxsqWjrMjDysC958O709C+4MDro7sgICAgUFJmMA0KN6Gi
yKu5+svNu/XJz8PFo6w5ONSqu/W1vbi2v+6jrL/J0tTR6bv1o6zI59Do0qqjrMfrwfS12Na3oaK1
57uwoaLBqs+1yMuhoyAgICA5UzhPDQo4oaLQ6NKqtcTF89PRx+ vBqs+1o7rTys/ko7ogZGlhbnNo
aWJhbzAwMUAxMjYuY29tICBRL1GjujU0Njg0oao1NTc5ICC96c ncvPujumh0dHA6Ly93bGRzOTgu
YmxvZy4xNjMuY29tLyANCg0KICAgINejxPogIM3yysLI59Lio6 EgICAgUjA5amxQODkNCg==


myserver.ghibux.tld nome usato per sostituire il nome del server reale
IPdelServer nome usato per sostituire iIP del server reale
ghibux.tld nome usato per sostituire nome del server smtp reale

non posso bloccare quell'ip che vedete 61.145.218.94, perchè cambia molto spesso.

come faccio ad individuare da dove proviene la problematica e tappare la falla?

paolino_delta_t
02-12-2010, 19:36
Gli header dicono tutto e cioè che il server smtp è settato per fungere da relay anche per host esterni.

Semplicemente o il server non è adeguatamente settato per cui permette il relaying anche senza autenticazione o qualcuno ha scovato qualche password.

ghibux
02-12-2010, 20:27
capito cosa dici solo che nn trovo riscontro nel settaggio che ho messo a QMAIL

Qmail ha correttamente settato il file
rcpthosts con tutti gli host concessi

infatti se faccio una prova via telnet ed invio ad un na mail @hostname che non è in lista mi dice

553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)

a questo punto come è possibile che riescano a bypassare l'rcpthosts?

paolino_delta_t
02-12-2010, 20:38
Non è che il tuo pc ha un malware?

Loading