Portál AbcLinuxu, 14. května 2025 02:11

Dotaz: Nekdo pouziva muj server jako open relay

20.3.2006 08:49 OgeeN
Nekdo pouziva muj server jako open relay
Přečteno: 255×
Odpovědět | Admin
Zdravim vsechny,
stala se mi nemila vec. Nekdo zacal muj mailovy server pouzivat k rozesilani spamu. V logu se najednou objevilo ze uzivatel www-data (muj uzivatel pod kterym bezi apache) posila maily na vsechny strany. Zaroven mi zacaly chodit stiznosti na muj server. Jako postaka pouzivam postfix spolu s amavisd-new+spamassassin+nod32, ktery postu preposila na mercury mail server na stroji s netware5, ktery ji pak rozdeluje do schranek.
Nevim kde bych mel zacit s hledanim problemu.

Dik za kazdou pomoc

Prikladam konfiguracni soubor postfixu:

cat main.cf
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
delay_warning_time = 4h

myhostname = gate.sps-pi.cz
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = gate.sps-pi.cz, localhost, localhost.localdomain, localhost
relay_domains = $mydestination, sps-pi.cz
mynetworks = 127.0.0.0/8, 172.16.0.0/16, 172.17.0.0/16
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

message_size_limit = 52428800

transport_maps = hash:/etc/postfix/transport

content_filter = smtp:[127.0.0.1]:10024

smtpd_recipient_restrictions =
permit_mynetworks,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
# reject_unknown_recipient_domain,
reject_unauth_pipelining,
reject_unauth_destination,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
#reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
permit

smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/accessgate:/etc/postfix#
Nástroje: Začni sledovat (3) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

20.3.2006 12:53 h7
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nekdo ti hacknul apache (asi pres php) a nejspise nejakym skriptem posila maily. Oprav derave skripty.Nepouzivas nahodou phpnuke? :-] h7
25.3.2006 11:42 Ondřej Čečák | skóre: 33
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Nemusi to byt nutne hack, pravdepodobne je na webu jenom neosetreny skrip posilajici emaily, ktereho nekdo zneuziva.
-- "Ja vim, on vi, ty pico!"
21.4.2006 19:45 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Rekl bych ze problem je uplne nekde jinde .... Podle te konfiguraceten server neni open relay (coz zjistis v logu) ani pres NEJ NEJDE spam (coz zjistis v logu) ale problem je v tom (mel jsem to i ja), ze fucking windows stanice jsou zavirovane a zaskriptovane a PRIMO pres port 25 posilaji spamy aniz by o tom nekdo vedel .... :-))

1. zkontroluj celou vnitrni sit a pokud mas proxy SMAZ cache ...
2. ZAKAZ z vnitrni site ven port 25 a VSECHNA posta musi jit pres mailserver ...

Never give up ! Stay ATARI !
10.5.2006 17:03 petr_p
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Takze windows SMTP klient se pripoji na TCP port 25 a postfix do logu napise, ze posta byla lokalne odeslana uzivatelem www-data?
10.5.2006 17:07 jm
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
No, to je prece uplne logicke... :-)
10.5.2006 17:14 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
ne, vetsinou je to tak, ze se to forwarduje primo, NEJDE to tedy pre 25 kde je mail server a v logu postfixu NENI tim padem nic ... :-) No a protoze si za NATem, tak je ten spam venku definovany jako vnejsi adresa serveru kde bezi postfix - pokud je mailserver na NATu na routeru a ODNESE nasledky mailserver .... proste ZAKAZ forward v vnejsku ven na 25 - tim padem vsichni kdo chteji posilat postu MUSI mit v klientech nastavenou adresu mailserveru .... ten retezec bude vypadat takto:

iptables -A FORWARD -o eth0 -p tcp --dport 25 -j DROP

kde eth0 je vnejsi interface (WAN)

Never give up ! Stay ATARI !
11.5.2006 00:04 jm
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
CLovece, prestan tady sirit bludy... Tohle je evidentne neosetreny formular na webu, nevim k cemu tady nesmyslne sachovat s iptables, ne zadne zavirovane Windows. Ach jo. :-(
11.5.2006 00:09 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Bud tak laskav a trosku si prostuduj zakladni principy, abys aspon pochopil jak jsou veci svazane dohromady, nez se zacnes zesmesnovat ...

Tohle je realita.
Never give up ! Stay ATARI !
11.5.2006 04:31 eudyptes | skóre: 12 | blog: eudyptes | Teplice
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
no než bych tu mluvil o základních principech, bylo by dobre si přečíst původní příspěvek. OgeeN píše, že se mu v logu objevuje množství odeslaných mailů od uživatele www-data. takže vaše připomínky
... ani pres NEJ NEJDE spam (coz zjistis v logu) ...
nejsou moc na místě. Osobně se domívám, že se bude jednat pouze o neošetřený php script.
11.5.2006 08:39 OgeeN
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Vyřešeno (už docela davno). Utocnik uhodl heslo k studentskemu FTP a uploadnul na studentske www stranky php script kterym pak rozesilal spam. Studentsky server byl pak presunut na jiny pocitac a odriznut od internetu.
Dik vsem za reakce
11.5.2006 08:29 jm
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Bud tak laskav a trosku si prostuduj zakladni principy, abys aspon pochopil jak jsou veci svazane dohromady, nez se zacnes zesmesnovat ...
Samozrejme, Utlouk na zavirovanych Windows stanicich se logne pod uctem www-data na mailserver - shell /bin/false tomu vubec neprekazi :-) - a z localhostu zacne hromadne spamovat. Jezkovy zraky. Precti si prosimte puvodni dotaz.
11.5.2006 09:01 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Ano, jenze stale to NEMUSELO jit pres postfix .... To je jedno zda spamuje Apache, ci windows, MTA s tim preci nemusi mit nic spolecneho - ja mel taky tohovou podobnou situaci :-)
Never give up ! Stay ATARI !
11.5.2006 09:02 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
I kdyz pravda, ze v pripade apache by mu nepomohl ani ten zapis v iptables ...
Never give up ! Stay ATARI !
10.5.2006 17:54 macrek | skóre: 12
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Odpovědět | | Sbalit | Link | Blokovat | Admin
ja tiez predpokladam ze je problem niekde inde :-D
nie je nutne hacknut apache, aby bolo mozne cez neho posielat maily...
Pozri si logy z apacha, a grepuj: CONNECT

odporucam si pozriet:
http://www.abclinuxu.cz/forum/show/16337
a prejst si google.... pravdepodobne bude stacit zapnut apache bez proxy...
An eye for an eye makes the whole world blind.
10.5.2006 18:44 tomasgn | skóre: 23 | JN89GE
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Odpovědět | | Sbalit | Link | Blokovat | Admin
pravdepodobne spatne napsane php skripty a nastaveni v php.ini . neni neco zajimaveho v /tmp ?
11.5.2006 06:48 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Nekdo pouziva muj server jako open relay
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nevím jak ten apache a scripty, ale možna bys měl ještě nastavit ještě smtpd_sender_restrictions v main.cf , ale asi to bude stejně naprd, když to posílá lokální apache. Snad jedině dohledat podle času kdy byl nějaký závadný mail odeslán zkusit najít podle logu apache které scripty/stránky se zrovna používaly a zkusit najít chybu v nich.
Any technology distinguishable from magic is insufficiently advanced.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.