[CentOS-es] Ayuda con Servidor Comprometido

Salvador - Salman PSL listascorreo en salman.net
Lun Mayo 4 18:15:11 UTC 2015


    *::Para mi que tienes el servidor de correo muy mal configurado.

    Tienes un exceso de informacion en el log, que no te deja ver claro.

    Si tuvieses bien configurado todo, sabrias cual es el origen del correo.

    Una cosa que no entiendo es que envies un correo de rechazo por un
    HELO rechazado, estas comprobandolo despues de haber recibido el
    correo, y eso tienes que comprobarlo antes de recibir todo el correo.

    Lo dicho, para mi que ese Postfix, no esta bien configurado.

    * 


 >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
------------------------------------------------------------------------
Saludos
Salvador Guzman
Salman PSL
Vigo, Galicia, España
    +34 986.21.30.27
    +34 679-725-626
Salman.EU <http://salman.es/>
El 04/05/2015 a las 15:59, David González Romero escribió:
> Hola Lista!!
>
> Una vez mas el tema del SPAM me tienen en jaque mate...
>
> Esta vez la verdad es que no tiene ni pies, ni cabezas. Es posible que
> tenga pueda ser una PC de mi red o que sea mi servidor, yo mi inclino
> por la segunda opción.
>
> La configuración de Postfix está lo más restricta posible para
> enviar-recibir. Pero lo cierto es que estoy teniendo cada fin de
> semana un problema serio con los SPAM ya que llego y tengo miles de
> mail en cola que no se despachan porque los servidores receptores no
> permiten y me bloquean como SPAM.
>
> Tengo también las herramientas para buscar rootkit en el server, lo
> mismo el Clamav que no encuentra virus. También configuré Fail2ban,
> para la mayoría de los servicios que tengo. Sin embargo viendo los log
> de correo hay algunas cosas raras.
>
> Les transfiero un parte del log que considero extraño:
> ----------------------------------------------------------------------------------------
> Amavis-new
>
>   **Unmatched Entries**
>      INFO: truncating long header field (len=1318): X-Envelope-To:
> <c-1c en 163.com>, <c043208 en amco.co.kr>, <c1 en bpr.gov.my>,
> <c02_r04 en ccc.ae>, <c02_r05 en ccc(28594-06) Passed SPAM, [196.46.245.153]
> [196.46.245.153] <authentication en stellawalker.co.uk> ->
> <c-1c en 163.com>,<c043208 en amco.co.kr>,<c1 en bpr.gov.my>,<c02_r04 en ccc.ae>,<c02_r05 en ccc.ae>,<c02_r06 en ccc.ae>,<c02_r08 en ccc.ae>,<c02_r10 en ccc.ae>,<c02_r11 en ccc.ae>,<c05_r03 en ccc.com.om>,<c05_r04 en ccc.com.om>,<c05_r05 en ccc.com.om>,<c04_r01 en ccc.com.qa>,<c04_r03 en ccc.com.qa>,<c03_r12 en ccc.com.sa>,<c03_r14 en ccc.com.sa>,<c03_r15 en ccc.com.sa>,<c03_r16 en ccc.com.sa>,<c11 en chsteel.com.tw>,<c01ng en dmu.ac.uk>,<c021868e en dongbuchem.com>,<c12155 en email.mot.com>,<c13362 en email.mot.com>,<c14582 en email.mot.com>,<c14704 en email.mot.com>,<c14882 en email.mot.com>,<c00lways en gmail.com>,<c15908 en gscaltex.co.kr>,<c00lsun en hotmail.com>,<c0000 en manhorope.com>,<"\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232olivia.chen"@molcn.com.cn>,<"\347\256\261\357\274\232celian.huang"@m
>   olcn.com.cn>,<"\347\256\261\357\274\232hr"@molcn.com.cn>,<c06_r02 en morganti.com.jo>,<c14322 en motorola.com>,<c14519 en motorola.com>,<c15187 en motorola.com>,<c17761 en motorola.com>,<c058436 en narwhal.cc.metu.edu.tr>,<c107036 en narwhal.cc.metu.edu.tr>,<c12hockguan en nexgen.com.my>,<c015076 en pc.jaring.my>,<c10036 en qq.com>,<c10 en tm.net.my>,<c11 en tm.net.my>,<c15 en tm.net.my>,<c00lways en yahoo.com>,<c0untryman en yahoo.com>,<c1619p en yahoo.com.hk>,
> Message-ID: <20150502214852.043E957688AE en mail.timbo.com.py>, mail_id:
> dN-ces7fv0ZT, Hits: 40.253, queued_as: E0AE257688D7, 224 ms: 1 Time(s)
>      WARN: address modified (recip):
> <\344\274\232\350\256\241\346\226\207\345\221\230\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232ivy.guo en molcn.com.cn>
> -> <"\344\274\232\350\256\241\346\226\207\345\221\230\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232ivy.guo"@molcn.com.cn>:
> 1 Time(s)
>      WARN: address modified (recip):
> <\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232celian.huang en molcn.com.cn>
> -> <"\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232celian.huang"@molcn.com.cn>:
> 1 Time(s)
>      WARN: address modified (recip):
> <\347\256\261\357\274\232hr en molcn.com.cn> ->
> <"\347\256\261\357\274\232hr"@molcn.com.cn>: 1 Time(s)
>      INFO: truncating long header field (len=2242): X-Envelope-To:
> =?iso-8859-1?Q?=3C=22=E7=94=B5=E5=AD=90=E9=82=AE=E7=AE=B1=EF=BC=9Ahr=22?=
> =?iso-8859-(28518-11) Passed SPAM, [196.46.245.152] [196.46.245.152]
> <authentication en stellawalker.co.uk> ->
> <"\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232hr"@51job.com>,<c_paul_dehusijarana en bankmandiri.co.id>,<c_paul_pehusijarana en bankmandiri.co.id>,<c_paul_tehusijarana en bankmandiri.co.id>,<c_sakamoto en botlfp.com>,<c_wong en buckman.com>,<c_taspascual en bworldonline.com>,<c_s_tan en colpal.com>,<c_sanittha en cvdgroup.com>,<c_peiyee en hotmail.com>,<c_prajakwong en hotmail.com>,<c_prasong en hotmail.com>,<c_ramate en hotmail.com>,<c_sarunwan en hotmail.com>,<c_senthilvelmurugan en hotmail.com>,<c_simhao en hotmail.com>,<c_speer en hotmail.com>,<c_tap16 en hotmail.com>,<c_tedja en hotmail.com>,<c_varsha en hotmail.com>,<c_w_sutherland en hotmail.com>,<c_wentong en hotmail.com>,<c_y79 en hotmail.com>,<c_yl2008 en hotmail.com>,<c_yuan_meng en hotmail.com>,<c_yumi en hotmail.com>,<"\347\224
>   \265\345\255\220\351\202\256\347\256\261\357\274\232lee.liang"@molasia.com>,<"\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232celian.huang"@molcn.com.cn>,<"\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232catherine.huang"@molocb.com>,<c_somchai en nawarat.co.th>,<c_ramesh en qp.com.qa>,<c_patil en rediffmail.com>,<c_romine en statefarm.com>,<c_vista en streamyx.com>,<c_star en tm.net.my>,<c_w en tm.net.my>,<c_pigzley en yahoo.com>,<c_poddar en yahoo.com>,<c_qynn en yahoo.com>,<c_raffyx_venture99 en yahoo.com>,<c_ramu19 en yahoo.com>,<c_rosli en yahoo.com>,<c_sahana en yahoo.com>,<c_sp en yahoo.com>,<c_t_choo en yahoo.com>,<c_tyee en yahoo.com>,<c_wasih en yahoo.com>,<c_yokelin en yahoo.com>,<c_yuin en yahoo.com>,
> Message-ID: <20150502214849.4AD1B5768899 en mail.timbo.com.py>, mail_id:
> XBbs+KM6FQwt, Hits: 40.253, queued_as: 0FD6857688D6, 218 ms: 1 Time(s)
>      WARN: address modified (recip):
> <\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232olivia.chen en molcn.com.cn>
> -> <"\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232olivia.chen"@molcn.com.cn>:
> 1 Time(s)
>      WARN: address modified (recip):
> <\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232hr en 51job.com>
> -> <"\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232hr"@51job.com>:
> 1 Time(s)
>      WARN: address modified (recip):
> <\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232catherine.huang en molocb.com>
> -> <"\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232catherine.huang"@molocb.com>:
> 1 Time(s)
>      WARN: address modified (recip):
> <\347\256\261\357\274\232celian.huang en molcn.com.cn> ->
> <"\347\256\261\357\274\232celian.huang"@molcn.com.cn>: 1 Time(s)
>      INFO: truncating long header field (len=1254): X-Envelope-To:
> <a1 en bpr.gov.my>, <a058999 en cht.com.tw>, <a150 en cht.com.tw>,
> <a095 en cych.org.tw>, <a17830(11858-17) Passed SPAM, [196.46.246.183]
> [196.46.246.183] <web12 en mail.ymps.ntpc.edu.tw> ->
> <a1 en bpr.gov.my>,<a058999 en cht.com.tw>,<a150 en cht.com.tw>,<a095 en cych.org.tw>,<a1783070 en dgb.co.kr>,<a10498 en email.mot.com>,<a10886 en email.mot.com>,<a11345 en email.mot.com>,<a11567 en email.mot.com>,<a13674 en email.mot.com>,<a16193 en email.mot.com>,<a17178 en email.mot.com>,<a18110 en email.mot.com>,<a19031 en email.mot.com>,<a19206 en email.mot.com>,<a21158 en email.mot.com>,<a19384 en freescale.com>,<a0923e en gmail.com>,<a1anoop en gmail.com>,<a2005t en gmail.com>,<a0_s en hotmail.com>,<a1s_ en hotmail.com>,<"\344\274\232\350\256\241\346\226\207\345\221\230\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232ivy.guo"@molcn.com.cn>,<a12917 en motorola.com>,<a16167 en motorola.com>,<a17178 en motorola.com>,<a17179 en motorola.com>,<a17193 en motorola.com>,<a19024 en motorola.com>,<a20581 en motorola
>   .com>,<a22023 en motorola.com>,<a22530 en motorola.com>,<a20109 en motorolla.com>,<a1780013 en ms24.hinet.net>,<a1790012 en ms24.hinet.net>,<a15.a90 en msa.hinet.net>,<a1943.a1943 en msa.hinet.net>,<a2889 en n-koei.co.jp>,<a12767 en tm.com.my>,<a12887 en tm.com.my>,<a13236 en tm.com.my>,<a15361 en tm.com.my>,<a15824_a en tm.com.my>,<a16856 en tm.com.my>,<a12seri en um.edu.my>,<a1-m2-r3 en yahoo.com>,<a1alaqudah en yahoo.com>,<a178900 en yahoo.com.tw>,
> Message-ID: <20150502134124.2C1681CE035B en mail.timbo.com.py>, mail_id:
> yQPSPzzglZ-5, Hits: 35.918, queued_as: 895771CE0358, 213 ms: 1 Time(s)
>      WARN: address modified (recip):
> <\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232lee.liang en molasia.com>
> -> <"\347\224\265\345\255\220\351\202\256\347\256\261\357\274\232lee.liang"@molasia.com>:
> 1 Time(s)
> ----------------------------------------------------------------------------------------
> Postfix
> (De estas lineas hay cientos iguales)
>   Unrecognized warning:
>       TLS library problem: 13238:error:14077410:SSL
> routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake
> failure:s23_clnt.c:586: : 1 Time(s)
>       TLS library problem: 13256:error:14077410:SSL
> routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake
> failure:s23_clnt.c:586: : 1 Time(s)
>       TLS library problem: 13334:error:14077410:SSL
> routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake
> failure:s23_clnt.c:586: : 1 Time(s)
> .......
> host 0.0.0.0[0.0.0.0]:25 replied to HELO/EHLO with my own hostname
> mail.timbo.com.py : 9 Time(s)
>       host akerkvaener.com[127.0.0.4]:25 replied to HELO/EHLO with my
> own hostname mail.timbo.com.py : 1 Time(s)
>       host blackhole.superlink.net[127.0.0.3]:25 replied to HELO/EHLO
> with my own hostname mail.timbo.com.py : 1 Time(s)
>       host blackhole.theglobe.com[127.0.0.2]:25 replied to HELO/EHLO
> with my own hostname mail.timbo.com.py : 2 Time(s)
>       host fch.in[0.0.0.0]:25 replied to HELO/EHLO with my own hostname
> mail.timbo.com.py : 1 Time(s)
>       host mail.airport.com[127.0.0.6]:25 replied to HELO/EHLO with my
> own hostname mail.timbo.com.py : 1 Time(s)
>       host your-dns-needs-immediate-attention.sony[127.0.53.53]:25
> replied to HELO/EHLO with my own hostname mail.timbo.com.py : 1
> Time(s)
>       network_biopair_interop: error reading 5 bytes from the network:
> Connection reset by peer : 36 Time(s)
>       network_biopair_interop: error reading 7 bytes from the network:
> Connection reset by peer : 6 Time(s)
>       network_biopair_interop: error writing 37 bytes to the network:
> Broken pipe : 4 Time(s)
>       network_biopair_interop: error writing 37 bytes to the network:
> Connection reset by peer : 5 Time(s)
>       no MX host for 265.com has a valid address record : 1 Time(s)
>       no MX host for 3com.com has a valid address record : 8 Time(s)
>       no MX host for aboutvoyeur.com has a valid address record : 1 Time(s)
>       no MX host for accu-find.com has a valid address record : 1 Time(s)
>       no MX host for amd.com.sg has a valid address record : 1 Time(s)
>       no MX host for ap.altria.com has a valid address record : 1 Time(s)
>       no MX host for apm-automotive.com.my has a valid address record : 1 Time(s)
>       no MX host for arabianbemco.com has a valid address record : 1 Time(s)
>       no MX host for arcsight.com has a valid address record : 2 Time(s)
>       no MX host for arrow-dynamic.com has a valid address record : 1 Time(s)
>       no MX host for asiabrandscorp.com has a valid address record : 4 Time(s)
>       no MX host for asiapulppaper.com has a valid address record : 1 Time(s)
>       no MX host for astral.ro has a valid address record : 4 Time(s)
>       no MX host for banco.com.sv has a valid address record : 1 Time(s)
>       no MX host for baoshan.sh.cn has a valid address record : 1 Time(s)
> .............
> Aqui empieza la parte del SPAM:
>
> NOQUEUE: reject: RCPT from
> 118-161-241-219.dynamic.hinet.net[118.161.241.219]: 554 5.7.1
> <201.217.51.105>: Helo command rejected: Access denied;
> from=<z2007tw en yahoo.com.tw> to=<vkihwpdh en yahoo.com.tw> proto=SMTP
> helo=<201.217.51.105>
>   A5E641CE0188: to=<braimahster en gmail.com>,
> relay=gmail-smtp-in.l.google.com[74.125.21.26]:25, delay=8.1,
> delays=0.05/0.01/1.4/6.6, dsn=5.7.1, status=bounced (host
> gmail-smtp-in.l.google.com[74.125.21.26] said: 550-5.7.1
> [201.217.51.105      12] Our system has detected that this message is
> 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent
> to Gmail, 550-5.7.1 this message has been blocked. Please visit
> 550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131
> for 550 5.7.1 more information. f67si4365709yho.125 - gsmtp (in reply
> to end of DATA command))
>   A5E641CE0188: sender non-delivery notification: BBD821CE018E
>   09F8F1CE0171: reject: RCPT from unknown[41.138.175.226]: 554 5.1.2
> <damex en damex.com.br>: Recipient address rejected: Domain not found;
> from=<frederickfermin en yahoo.co.uk> to=<damex en damex.com.br> proto=ESMTP
> helo=<User>
>   0DD601CE0171: host gateway-f2.isp.att.net[207.115.11.16] refused to
> talk to me: 550-201.217.51.105 blocked by ldap:ou=rblmx,dc=att,dc=net
> 550 Error - Blocked for abuse. See http://att.net/blocks
>   E9A9A1CE0188: to=<dametta en itelefonica.com.br>,
> relay=vip-us-br-mx.terra.com[208.84.244.133]:25, delay=1.3,
> delays=0.06/0.03/1/0.16, dsn=5.2.1, status=bounced (host
> vip-us-br-mx.terra.com[208.84.244.133] said: 550 5.2.1 Mailbox
> disabled for this recipient (in reply to RCPT TO command))
>   0DD601CE0171: host mx1.comcast.net[96.114.157.80] refused to talk to
> me: 554 resimta-po-04v.sys.comcast.net comcast 201.217.51.105 Comcast
> block for spam.  Please see
> http://postmaster.comcast.net/smtp-error-codes.php#BL000000
>
> ----------------------------------------------------------------------------------------
> Y así como ese miles de líneas iguales.
> Pero hice una búsqueda más exaustiva en el log y veo esto en
> diferentes momentos del log que tuve que seguir por le ID del correo
>
> Apr 18 01:08:10 mail postfix/qmgr[23567]: CC59E1CE0171:
> from=<info en treasury.gov>, size=3120, nrcpt=1 (queue acti
> ve)
> Apr 18 01:08:15 mail postfix/qmgr[23567]: 75DCF1CE0188:
> from=<info en treasury.gov>, size=3589, nrcpt=1 (queue active)
> Apr 18 01:08:15 mail postfix/smtpd[31026]: disconnect from
> mail.timbo.com.py[127.0.0.1]
> Apr 18 01:08:15 mail amavis[27844]: (27844-05) Passed SPAM,
> [68.15.32.120] [68.15.32.120] <info en treasury.gov> ->
> <harrisonworld2love en yahoo.co.uk>, Message-ID:
> <20150418050809.CC59E1CE0171 en mail.timbo.com.py>, mail_id:
> 9bkgsnbCoNNP, Hits: 28.805, queued_as: 75DCF1CE0188, 5061 ms
> Apr 18 01:08:15 mail postfix/lmtp[31023]: CC59E1CE0171:
> to=<harrisonworld2love en yahoo.co.uk>, relay=127.0.0.1[127.0.0.1]:10024,
> delay=5.9, delays=0.85/0.01/0/5.1, dsn=2.6.0, status=sent (250 2.6.0
> Ok, id=27844-05, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as
> 75DCF1CE0188)
> Apr 18 01:08:15 mail postfix/qmgr[23567]: CC59E1CE0171: removed
> Apr 18 01:08:16 mail postfix/smtp[31027]: certificate verification
> failed for mx-eu.mail.am0.yahoodns.net: num=20:unable to get local
> issuer certificate
> Apr 18 01:08:16 mail postfix/smtp[31027]: certificate verification
> failed for mx-eu.mail.am0.yahoodns.net: num=27:certificate not trusted
> Apr 18 01:08:19 mail postfix/smtp[31027]: 75DCF1CE0188:
> to=<harrisonworld2love en yahoo.co.uk>,
> relay=mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25, delay=3.9,
> delays=0.04/0.01/1.9/1.9, dsn=2.0.0, status=sent (250 ok dirdel)
> Apr 18 01:08:19 mail postfix/qmgr[23567]: 75DCF1CE0188: removed
>
> Como ven aquí es donde mi problema entra.
> El From: es claro que no es mio y el To: tampoco; sin embargo pasa por
> mi servidor como perro por su casa. Lo que me deja que pensar en dos
> posibles opciones:
> 1- Una cuenta real del sistema está comprometida
> 2- En el server hay un bot.
>
> La primera voy a resolver de a poco; quizá tengo una pequeña sospecha.
> Pero necesitaría ayuda para verificar la dos. Ya he corrido rkhunter
> varias veces y no me da problemas salvo que uso el puerto 465 para
> SASL y tengo activo un rsync para sincronizar archivos compartidos con
> el NAS, pero es todo local. Entonces precisaría alguna idea de como
> buscar este posible bots o algun otro soft que esté haciendo de las
> suyas.
>
> Existe algun metodo de búsqueda más intensivo que no sea solo con rkhunter?
>
> Saludos,
> David
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>




Más información sobre la lista de distribución CentOS-es