Dotaz: Asi hack serveru

Ahoj, prosím o radu.

Server debian, postfix

Zjistil jsem, že mi server začal dnes posílat tuny mailů. V logu jsem ale nenašel, že by se někdo přihlásil, že by třeba prolomil heslo, ale vypadá to, že to posílá nějaký proces, protože v mail.log to vypadá následovně (čas, kdy začne server masivně rozesílat):

connect from muj.server.cz[xx.xxx.xx.xx]
5A523A0586: client=muj.server.cz[xx.xxx.xx.xx]

a to je přímo adresa serveru. No a pak už to jede:

5A523A0586: from=[Haren@phonicom.fr>, size=20345, nrcpt=998 (queue active)
Sep  7 13:18:42 mail postfix/smtp[5673]: 5A523A0586: to=[petits.futes@agds.fr>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.89, delays=0.52/0.01/0/0.36, dsn=2.0.0, status=sent (250 2.0.0 from
Sep  7 13:18:42 mail postfix/smtp[5673]: 5A523A0586: to=[ste-consorce@agds.fr>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.89, delays=0.52/0.01/0/0.36, dsn=2.0.0, status=sent (250 2.0.0 from
Sep  7 13:18:42 mail postfix/smtp[5673]: 5A523A0586: to=[contact@agence-coi.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.89, delays=0.52/0.01/0/0.36, dsn=2.0.0, status=sent (250 2.0.0 fr
...
...
...

A tuny mailů.

Vůbec nějak nevím, kde mám hledat, hled jsem v běžících procesech něco podezřelého, ale nic Poradí prosím někdo, jak dohledat, který proces/skript to posílá?

Díky.

Ahoj, jestli se nepletu tak to co poslas je az komunikace na externi milter a 10024 mam spojeny s amavisd. Takze tohle je az preposlani na amavis, nekde se pak vrati z amavis - tusim port 10025. Skutesne odeslani na smtp bude nekde predtim.

…že by třeba prolomil heslo…

Jaké heslo? Kdyby prolomil heslo k nějakému SMTP účtu, nejspíš by tam nebyl relay=localhost. Pokud jde o přihlášení přes SSH, tam přece žádné přihlašování heslem neexistuje a k přihlašování slouží jedině soukromý klíč. To by musel mít útočník hodně štěstí, aby prolomil soukromý klíč.

Nemůže to být třeba špatně zabezpečený webový server, který na tom stroji běží, dělá cosi neopatrného v PHP (nebo něčem podobném) a je zranitelný vůči injection útokům?

Hledání bych začal od toho portu, netstat -atpn | grep 10024 (v době, kdy se to rozesírání děje); nestat pod rootem vždy ukáže i proces, který má daný port otevřený.

Další rozumný krok je nepovolit nikdy rozesírání bez autentifikace a bez TLS, ani z localhosta. Všechny rozumné webové servery, které podporují rozesírání mailů (například různé CMS nebo obecně všechno, co vytváří účty, spravuje diskuse, odesílá ověřovací maily atd.) podporují ESMTP přes TLS a s normální autentifikací. Mít na localhostu povolené nějaké odesírání v plaintextu sice může potěšit nějaké command-line utility z 80. let, ale žádné jiné výhody to nemá, jenom nevýhody. Povinnou autentifikací by se buď (a) útočníkovi alespoň znemožnilo odesírání, nebo (b) pokud by útočník fungoval z webového serveru injection útokem, zjistilo by se víc podrobností (podle ověřovacích údajů, které by poskytl).

Jo a v každém případě to vidím na reinstalaci. Ani oprava a přepsání všech balíčků nemusí zaručit, že tam někde nezůstane něco nechtěného a automaticky spouštěného.

193.9.112.92 - - [08/Sep/2020:08:31:05 +0200] "GET /favicon.ico HTTP/1.1" 403 554 "https://mail.mujserver.cz/?_task=mail&_mbox=INBOX.Sent&_uid=33&_action=compose" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Ge
cko) Chrome/85.0.4183.83 Safari/537.36"

197.210.227.129 - - [08/Sep/2020:06:27:51 +0200] "POST /?_task=mail&_action=refresh HTTP/1.1" 200 1141 "https://mail.mujserver.cz/?_task=mail&_mbox=INBOX.Sent" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko
) Chrome/85.0.4183.83 Safari/537.36"

stalo se mi neco podobnyho, nakonec jsem v kombinaci apache a drupal logu dohledal problem v kontaktnim formulari drupalu bez captchy.... za par hodim se odeslalo 15k mailu nez jsem zareagoval.

PS: mam jem maly soukromy mailserver a reknu Vam ze dostat se z blacklistu googlu je na mesic nez se refreshne reputace. outlook.com a jine MS domeny jsem po 10 pokusech s jejich supportem v asii vzdal ... a to mam DKIM,DMARC, SPF vse implementovane...