Invasão

1. Invasão

Geraldo Augusto de Oliveira Quites
geraldoquites

(usa Suse)

Enviado em 18/02/2013 - 19:15h

Tenho um servidor de webmail opensuse 11.4 64bits atualizado. Uso Apache e postfix com autenticação sasldb.
Usso conexão externo com ssh em porta diferente da 22 e não permito acesso direto ao root.

Há poucos dias venho observando uma saida superior de emails. Quando verifiquei os logs, pude observar que alguem está conseguindo enviar emails (spam) usando o meu servidor. Fiz um teste externo usando o telnet na minha porta 25 e ele não deixa sair emails que não são do meu dominio, observando isso conclui que ele está tendo acesso direto a minha máquina, mas conferi os log de messagens e não tem nenhum acesso externo como root.

Vendo os logs de firewall, observei um grande acesso na porta 443(https) e na porta 25 usando também http, pergunto, um hacker poderia enviar emails usando essas portas em http e https diretamente no meu servidor?

Se parte do meu logo de email:
Feb 15 23:46:49 mail postfix/smtpd[15739]: BF9E9240048: client=localhost[127.0.0.1]
Feb 15 23:46:50 mail postfix/cleanup[15746]: BF9E9240048: message-id=<20130216014649.BF9E9240048@mail.meuservidor.com.br>
Feb 15 23:46:50 mail postfix/qmgr[3462]: BF9E9240048: from=<eosylpzoy@yahoo.co.jp>, size=1808, nrcpt=2 (queue active)
Feb 15 23:46:50 mail postfix/local[15750]: BF9E9240048: to=<pegatudo@meuservidor.com.br>, relay=local, delay=0.68, delays=0.59/0/0/0.08, dsn=2.0.0, status=sent (delivered to maildir)
Feb 15 23:46:50 mail postfix/smtpd[15739]: disconnect from localhost[127.0.0.1]
Feb 15 23:46:50 mail postfix/smtp[15749]: BF9E9240048: to=<margesin@itc.it>, relay=meuservidor.com.br[189.55.14.169]:25, delay=1.3, delays=0.59/0.03/0.48/0.2, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as BC37363E5B)
Feb 15 23:46:50 mail postfix/qmgr[3462]: BF9E9240048: removed


segue parte do meu sarg com acesso na porta 443 e 25 no mesmo dia e horários:
175.192.97.176 - - [15/Feb/2013:23:36:02 -0200] "CONNECT 203.138.180.240:25 HTTP/1.0" 405 978 "-" "-"
175.192.97.176 - - [15/Feb/2013:23:36:02 -0200] "CONNECT 111.87.239.132:25 HTTP/1.0" 405 977 "-" "-"
210.83.80.91 - - [15/Feb/2013:23:36:02 -0200] "CONNECT 202.179.204.254:25 HTTP/1.0" 405 978 "-" "-"
173.45.85.60 - - [15/Feb/2013:23:39:02 -0200] "CONNECT 211.10.20.55:25 HTTP/1.0" 405 975 "-" "-"
173.45.85.54 - - [15/Feb/2013:23:48:02 -0200] "CONNECT 210.130.202.81:25 HTTP/1.0" 405 977 "-" "-"
175.192.97.176 - - [15/Feb/2013:23:48:02 -0200] "CONNECT 202.179.204.254:25 HTTP/1.0" 405 978 "-" "-"
173.45.85.55 - - [15/Feb/2013:23:54:01 -0200] "CONNECT 139.80.128.128:25 HTTP/1.0" 405 977 "-" "-"
64.79.92.60 - - [15/Feb/2013:23:57:01 -0200] "CONNECT 202.216.228.58:25 HTTP/1.0" 405 977 "-" "-"
64.79.92.60 - - [16/Feb/2013:00:06:04 -0200] "CONNECT 210.155.226.61:25 HTTP/1.0" 405 977 "-" "-"



188.193.204.102 - - [12/Feb/2013:18:36:05 -0200] "CONNECT 205.188.95.208:443 HTTP/1.0" 405 977 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-"
173.45.94.40 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 131.232.10.21:25 HTTP/1.0" 405 976 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:07 -0200] "CONNECT 205.188.95.208:443 HTTP/1.0" 405 977 "-" "-"
173.45.94.43 - - [12/Feb/2013:18:39:01 -0200] "CONNECT 183.79.57.238:25 HTTP/1.0" 405 976 "-" "-"


Agradeço ajuda para resolver este problema.

Geraldo.


  


2. Re: Invasão

Wilson Nalin Paolini
wnp

(usa Debian)

Enviado em 19/02/2013 - 09:18h

Se os usuários usam outlook, thunderbird ou qualquer outro mua, dá uma lida no link 1 primeiro, caso contrário, já pula para o link2:

LINK 1:
http://www.antispam.br/admin/porta25/definicao/



É provável que a senha de algum usuário do webmail tenha sido hackeada, segue o link 2, qualquer dúvida posta ai.

LINK 2:
http://www.vivaolinux.com.br/topico/Postfix/Servidores-de-e-mails


3. Re: Invasão

João Ricardo
ricardoschet

(usa Debian)

Enviado em 19/02/2013 - 09:34h

Os usuários acessam por onde? webmail ou algum cliente tipo outlook? Se for webmail, alguma conta pode ter sido hackeada, caso contrário, você pode estar com relay liberado para todos...
Esse seu servidor de email é doméstico né?


4. Re: Invasão

Geraldo Augusto de Oliveira Quites
geraldoquites

(usa Suse)

Enviado em 19/02/2013 - 09:42h

Obrigado ao Paolini e Ricardo pelas respostas.

Bom, eu uso sim o outlook para fazer acesso as mensagens, mas observem bem no log de email que a conexão não está sendo feito por um usuário cadastrado no meu sistema. O que vejo é uma invasão pela porta 25 usando HTTP.

Meu relay está fechado para dominios que não estão no meu relay.db.

Meu servidor´não é doméstico.




5. Re: Invasão

Wilson Nalin Paolini
wnp

(usa Debian)

Enviado em 19/02/2013 - 09:49h

posta o cabeçalho completo de um spam que ta saindo do seu servidor.


6. Re: Invasão

Geraldo Augusto de Oliveira Quites
geraldoquites

(usa Suse)

Enviado em 19/02/2013 - 09:58h

Feb 15 23:46:49 mail postfix/smtpd[15739]: connect from localhost[127.0.0.1]
Feb 15 23:46:49 mail postfix/smtpd[15739]: BF9E9240048: client=localhost[127.0.0.1]
Feb 15 23:46:50 mail postfix/cleanup[15746]: BF9E9240048: message-id=<20130216014649.BF9E9240048@mail.meuservidor.com.br>
Feb 15 23:46:50 mail postfix/qmgr[3462]: BF9E9240048: from=<eosylpzoy@yahoo.co.jp>, size=1808, nrcpt=2 (queue active)
Feb 15 23:46:50 mail postfix/local[15750]: BF9E9240048: to=<pegatudo@meuservidor.com.br>, relay=local, delay=0.68, delays=0.59/0/0/0.08, dsn=2.0.0, status=sent (delivered to maildir)
Feb 15 23:46:50 mail postfix/smtpd[15739]: disconnect from localhost[127.0.0.1]
Feb 15 23:46:50 mail postfix/smtp[15749]: BF9E9240048: to=<margesin@itc.it>, relay=dns1.meuservidor.com.br[189.69.14.169]:25, delay=1.3, delays=0.59/0.03/0.48/0.2, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as BC37363E5B)
Feb 15 23:46:50 mail postfix/qmgr[3462]: BF9E9240048: removed



7. Re: Invasão

Wilson Nalin Paolini
wnp

(usa Debian)

Enviado em 19/02/2013 - 10:05h

Geraldo, este é um trecho do aqruivo de log. Para que possamos analizar como o spam está sendo enviado do seu servidor é preciso que você poste o cabeçalho completo da mensagem.


8. Re: Invasão

Geraldo Augusto de Oliveira Quites
geraldoquites

(usa Suse)

Enviado em 19/02/2013 - 10:18h

Ha sim, tinha entendido errado. Segue:

Return-Path: <xuxiwn@softbank.ne.jp>
X-Original-To: pegatudo@meuservidor.com.br
Delivered-To: pegatudo@meuservidor.com.br
Received: from 189-69-14-169.mail.meuservidor.com.br (localhost [127.0.0.1])
by mail.meuservidor.com.br (Postfix) with SMTP id 0A4E4240048
for <chiemi7@seed.net>; Sat, 16 Feb 2013 16:00:29 -0200 (BRST)
Received: from 65.201.128.236 by 201.4.67.4; Mon, 18 Feb 2013 11:50:18 -0600
From: "Cleo Leach" <bmofowubevghwt@gmail.com>
To: chiemi7@seed.net
Subject: =?ISO-2022-JP?B?GyRCMkg9UCQ3JD8kMSRJJGQkQyRRJGo/NDpZJCQkKyRiIUQbKEI=?=
Date:Mon, 18 Feb 2013 10:50:18 -0700
X-Mailer: Microsoft Outlook Express 5.00.2615.200
MIME-Version: 1.0
Content-Type: text/plain; charset="SHIFT_JIS"
Content-Transfer-Encoding: 7bit
Message-Id: <20130216180030.0A4E4240048@mail.meuservidor.com.br>



9. Re: Invasão

Wilson Nalin Paolini
wnp

(usa Debian)

Enviado em 19/02/2013 - 10:34h

Pelo trecho abaixo já da p tirar algumas informações:

Received: from 65.201.128.236 by 201.4.67.4; Mon, 18 Feb 2013 11:50:18 -0600
From: "Cleo Leach" <bmofowubevghwt@gmail.com>
To: chiemi7@seed.net
Subject: =?ISO-2022-JP?B?GyRCMkg9UCQ3JD8kMSRJJGQkQyRRJGo/NDpZJCQkKyRiIUQbKEI=?=
Date:Mon, 18 Feb 2013 10:50:18 -0700
X-Mailer: Microsoft Outlook Express 5.00.2615.200

O e-mail foi enviado pelo ip 201.4.67.4 e 65.201.128.236 (camuflado) através do outlook. Remetente: bmofowubevghwt@gmail.com e Destinatário: chiemi7@seed.net.

Provavelmente seu servidor está sem autenticação, verifique as redes que estão liberadas para o envio de e-mails.




10. Re: Invasão

Geraldo Augusto de Oliveira Quites
geraldoquites

(usa Suse)

Enviado em 19/02/2013 - 10:49h

Para fazer conexão com meu postfix, a senha, uid e gid tem que estar corretos e ainda tem autenticação pela saslauth. Outr detalhe importante, a saida de email requer relay.

Testa aí para vc ver:

telnet 189.13.23.89 25



11. Re: Invasão

Daniel Lara Souza
danniel-lara

(usa Fedora)

Enviado em 19/02/2013 - 10:50h

coloca um servidor de IDS na borda da sua rede
minha sugestão


12. Re: Invasão

João Ricardo
ricardoschet

(usa Debian)

Enviado em 19/02/2013 - 10:57h

Aqui deu relay denied.



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts