[Exim-users] Спам от моего почтового сервера.

[Alexey Voronkov]

Здравствуйте, господа и дамы!

Помогите, пожалуйста, разобраться с такой проблемой:

ловлю отлупы, из-за того, что не принимается почта. Оказывается с моего сервера идет спам рассылка.

Return-path: <tatyana@адрессервера>
Received: from [123.240.22.198] (helo=123.240.22.198)
by адрессервера with esmtpa (Exim 4.63)
(envelope-from <tatyana@адрессервера>)
id 1SwRqw-0001tJ-8W; Wed, 01 Aug 2012 09:52:15 +0400
Message-ID: <527A81F375E94922B0BF406CF18554D0@cnrcuxz>
Reply-To: =?windows-1251?B?wPDy5ewgyOLg7e7i6PcgIA==?= <Mic...@yahoo.com>
From: =?windows-1251?B?wPDy5ewgyOLg7e7i6PcgIA==?= <Greg...@yahoo.com>
To: <tr...@naftagaz.ru>,
<martemian...@hq.tatenergo.ru>,
<rembe...@rafinad.ru>,
<sva...@rin.ru>,
<rek...@neru.sakha.ru>
Subject: =?windows-1251?B?wfvx8vD76SDx7+7x7uEg7+718+Tl8vw=?=
Date: Wed, 1 Aug 2012 08:52:05 +0300
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="windows-1251";
reply-type=original
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6109
Sender: tatyana@адрессервера

? ??? ????? ????????? ??? ??????? ??? ????????? ??????? ?????? ? ?????????? ??? !!?
???????????? ?????? ????????? ?????? ???? ???????? ??????? ? ?????????
???????????? ???? ? ??????? ?????????????!!? ????? : http://ссылка ??
?????? ?? ?????????? ? ???????? ???? ???? ????????? - ???? ???? ????????? ??????! 
??? ?????? ????? ? ??????! ????????? ??? ????????? ??? ????? ???? ????????
?????????. ?????? ?????? ????????? ????? ?????????????! ????? ???????????!

Вопрос в том - это кто-то доступ к серверу получил или это банальные вирусы на клиентской машине? т.к. X-Mailer: Microsoft Outlook Express 6.00.2900.5931, соответственно, делаю вывод, что почта отправлена с клиентской машине через аутлук. Верно ли я мыслю? Спасибо.

[Le...@lena.kiev.ua]

> From: Alexey Voronkov <zer...@gmail.com>

> http://ссылка<http://xn--80atcxa4d/>

> ??
> ?????? ?? ?????????? ? ???????? ???? ???? ????????? - ???? ???? ?????????
> ??????!
> ??? ?????? ????? ? ??????! ????????? ??? ????????? ??? ????? ???? ????????
> ?????????. ?????? ?????? ????????? ????? ?????????????! ????? ???????????!
>
>
> Вопрос в том - это кто-то доступ к серверу получил или это банальные вирусы
> на клиентской машине? т.к. X-Mailer: Microsoft Outlook Express
> 6.00.2900.5931, соответственно, делаю вывод, что почта отправлена с
> клиентской машине через аутлук. Верно ли я мыслю?

Нет, "Outlook Express" - подделка. 123.240.22.198 - Тайвань.
Скорее всего, пароль вашего пользвателя украден виндозным трояном
и продан спамеру. Менее вероятны phishing и подбор пароля.
Российский спамер, купивший пароль, использует бот в другой взломанной винде
(в данном случае в компе на Тайване).

Автоматическое блокирование украденных паролей, а также подбора паролей:
http://mailground.net/pipermail/exim-users/2012-April/000680.html

_______________________________________________
Exim-users mailing list
Exim-...@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Alexey Voronkov]

Спасибо, Лена.

А возможно ли, что к серверу получен несанкционированный доступ? Например, злоумышленник подключился без пароля? 

5 августа 2012 г., 16:23 пользователь <Le...@lena.kiev.ua> написал:

[Le...@lena.kiev.ua]

> А возможно ли, что к серверу получен несанкционированный доступ? Например,
> злоумышленник подключился без пароля?

Тогда не было бы тайваньского IP.
Да и взломать легко только винду.

> > Автоматическое блокирование украденных паролей, а также подбора паролей:
> > http://mailground.net/pipermail/exim-users/2012-April/000680.html

Я ведь это еще в апреле написала сюда. И объяснила, что это касается
всех админов Exim: у всех есть пользователи с виндой.
Что, пока гром не грянет, мужик не перекрестится?
Еще раз: это всех касается. Каждому нужно добавить эту автоматику в
конфиг своего Exim-а.

[Vasiliy P. Melnik]

у меня была ситуация - я сервак админю, админы создали юзера test с паролем test. Пароль тупо подобрали и всунули столько спама, что в var-е место закончилось.

З.Ы. спасибо за наводку на конфиги

5 августа 2012 г., 15:54 пользователь <Le...@lena.kiev.ua> написал:

[Alexander Sheiko]

Hello Lena,

Sunday, August 5, 2012, 3:54:29 PM, you wrote:

>> > Автоматическое блокирование украденных паролей, а также подбора паролей:
>> > http://mailground.net/pipermail/exim-users/2012-April/000680.html

Llku> Я ведь это еще в апреле написала сюда. И объяснила, что это касается
Llku> всех админов Exim: у всех есть пользователи с виндой.
Llku> Что, пока гром не грянет, мужик не перекрестится?
Llku> Еще раз: это всех касается. Каждому нужно добавить эту автоматику в
Llku> конфиг своего Exim-а.

Для этих целей мне нравится bruteblockd:

cat /usr/local/etc/bruteblock/exim.conf
regexp = mysql_(?:login|plain) authenticator failed for .* \[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\]: 535 Incorrect authentication data

# Number of failed login attempts within time before we block
max_count = 3

# Time in seconds in which all failed login attempts must occur
within_time = 60

# Time in seconds to block ip in firewall

# 60 minutes
reset_ip = 3600

# IPFW table number to add "bad" hosts
ipfw2_table_no = 10

Можно прикрутить к чему хочешь. Разумеется - FreeBSD only.

--
WBR, Alexander Sheiko

[Le...@lena.kiev.ua]

> >> > Автоматическое блокирование украденных паролей, а также подбора паролей:
> >> > http://mailground.net/pipermail/exim-users/2012-April/000680.html

> Для этих целей мне нравится bruteblockd:

bruteblock - это только блокирование подбора паролей через SMTP.
Но это никак не затрагивает основной путь кражи паролей -
виндозными троянами и сайтами, эксплуатирующими дыры в flash, pdf reader, java.
Пароли украдут из виндов пользователей. Гарантированно украдут.
Вы этому не помешаете, кроме как заставив всех своих пользователей
использовать не винду.
Главное - автоматически блокировать уже украденные пароли
при их использовании для исходящего спама.
Блокирование подбора - это так, заодно.

[Alexander Sheiko]

Hello Lena,

Sunday, August 5, 2012, 9:36:27 PM, you wrote:

Llku> bruteblock - это только блокирование подбора паролей через SMTP.
Llku> Но это никак не затрагивает основной путь кражи паролей -
Llku> виндозными троянами и сайтами, эксплуатирующими дыры в flash, pdf reader, java.

Согласен.

Llku> Пароли украдут из виндов пользователей. Гарантированно украдут.
Llku> Вы этому не помешаете, кроме как заставив всех своих пользователей
Llku> использовать не винду.

Это спорный вопрос, ни кто не мешает дырявой яве / флешу / броузеру дать
скопировать конфиг почтовика в том же линуксе. Но - оставим его для другой
рассылки.

Llku> Главное - автоматически блокировать уже украденные пароли
Llku> при их использовании для исходящего спама.

Но эту защиту легко обойти, достаточно проверить существование адресов из списка
рассылки на любой машине с нормальным резолвом, на этапе rcpt to, без
отправления писем, и влепить скорректированный список адресатов для рассылки из
под взломанного аккаунта. Получается, что единственно однозначным вариантом
будет ограничение количества рассылаемых писем за единицу времени.

--
WBR, Alexander Sheiko

[Le...@lena.kiev.ua]

> эту защиту легко обойти, достаточно проверить существование адресов из списка
> рассылки на любой машине с нормальным резолвом, на этапе rcpt to,
> без отправления писем, и влепить скорректированный список адресатов для
> рассылки из под взломанного аккаунта.

Практика показывает, что такой проверки подавляющее большинство
спамеров не делает.

Прошу тех, у кого был спам с использованием краденого пароля,
грепнуть лог: сколько было отказов 5xx в час.

[Vasiliy P. Melnik]

Практика показывает, что такой проверки подавляющее большинство
спамеров не делает.

Спамерам некогда проверять - проще письмо впихнуть, чем проверять адрес получателя на валидность.

 

Прошу тех, у кого был спам с использованием краденого пароля,
грепнуть лог: сколько было отказов 5xx в час.

ой - я свой стер, но учитывая что я не exim -bp не смог исполнить, ни ls -la в спуле - подозреваю что много.