[CentOS-es] Ayuda con Servidor Comprometido

Wilmer Arambula tecnologiaterabyte en gmail.com
Lun Mayo 4 22:34:44 UTC 2015


Yo personalmente uso un servidor
postfix+postfixadmin+amavisd+clamd+sieve+dovecot, y de verdad la cantidad
de intentos de hackeos es impresionante mi recomendación es no usar open
relay te quitas muchos dolores de cabeza, hoy en día usan muchos servidores
para enviar todo el spam posible, y tener una política de contraseñas
decente.

Saludos,

Wilmer.
El 4/5/2015 5:58 p. m., "Walter" <hamlu8na en yahoo.com.ar> escribió:

>
>
>
>
>
>
>     Parece mal configurado, estan genedando spam. Creo que con RBL bien
> configurado y postgrey se solucion
>
>
>
> ------ Mensaje original------Desde: Salvador - Salman PSLFecha: lun, 4 may
> 2015 17:00Para: centos-es en centos.org;Asunto:Re: [CentOS-es] Ayuda con
> Servidor Comprometido    *::Para mi que tienes el servidor de correo muy
> mal configurado.    Tienes un exceso de informacion en el log, que no te
> deja ver claro.    Si tuvieses bien configurado todo, sabrias cual es el
> origen del correo.    Una cosa que no entiendo es que envies un correo de
> rechazo por un    HELO rechazado, estas comprobandolo despues de haber
> recibido el    correo, y eso tienes que comprobarlo antes de recibir todo
> el correo.    Lo dicho, para mi que ese Postfix, no esta bien configurado.
>   *  >>>>>>>>>>>>>> ******* Fin del mensaje *******
> <<<<<<<<<<<<<<------------------------------------------------------------------------SaludosSalvador
> GuzmanSalman PSLVigo, Galicia, España    +34 986.21.30.27    +34
> 679-725-626Salman.EU El 04/05/2015 a las 15:59, David González Romero
> escribió:> Hola Lista!!>> Una vez mas el tema del SPAM me tienen en jaque
> mate...>> Esta vez la verdad es que no tiene ni pies, ni cabezas. Es
> posible que> tenga pueda ser una PC de mi red o que sea mi servidor, yo mi
> inclino> por la segunda opción.>> La configuración de Postfix está lo más
> restricta posible para> enviar-recibir. Pero lo cierto es que estoy
> teniendo cada fin de> semana un problema serio con los SPAM ya que llego y
> tengo miles de> mail en cola que no se despachan porque los servidores
> receptores no> permiten y me bloquean como SPAM.>> Tengo también las
> herramientas para buscar rootkit en el server, lo> mismo el Clamav que no
> encuentra virus. También configuré Fail2ban,> para la mayoría de los
> servicios que tengo. Sin embargo viendo los log> de correo hay algunas
> cosas raras.>> Les transfiero un parte del log que considero extraño:>
> ---------------------------------------------------------------------------------------->
> Amavis-new>>   **Unmatched Entries**>      INFO: truncating long header
> field (len=1318): X-Envelope-To:> , , ,> ,  [196.46.245.153]  ->>
> ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,<"ç”µå­ é‚®ç®±ï¼šolivia.chen"@molcn.com.cn>,<"箱:celian.huang"@m>
>  olcn.com.cn>,<"箱:hr"@molcn.com.cn>,,,,,,,,,,,,,,,,,> Message-ID: <
> 20150502214852.043E957688AE en mail.timbo.com.py>, mail_id:> dN-ces7fv0ZT,
> Hits: 40.253, queued_as: E0AE257688D7, 224 ms: 1 Time(s)>      WARN:
> address modified (recip):> <ä¼šè®¡æ–‡å‘˜ç”µå­ é‚®ç®±ï¼š
> ivy.guo en molcn.com.cn>> -> <"ä¼šè®¡æ–‡å‘˜ç”µå­ é‚®ç®±ï¼šivy.guo"@
> molcn.com.cn>:> 1 Time(s)>      WARN: address modified (recip):> <电å­
> 邮箱:celian.huang en molcn.com.cn>> -> <"ç”µå­ é‚®ç®±ï¼šcelian.huang"@
> molcn.com.cn>:> 1 Time(s)>      WARN: address modified (recip):> <箱:
> hr en molcn.com.cn> ->> <"箱:hr"@molcn.com.cn>: 1 Time(s)>      INFO:
> truncating long header field (len=2242): X-Envelope-To:>
> =?iso-8859-1?Q?=3C=22=E7=94=B5=E5=AD=90=E9=82=AE=E7=AE=B1=EF=BC=9Ahr=22?=>
> =?iso-8859-(28518-11) Passed SPAM, [196.46.245.152] [196.46.245.152]>  ->>
> <"ç”µå­ é‚®ç®±ï¼šhr"@51job.com>,,,,,,,,,,,,,,,,,,,,,,,,,,<"ç”>   µå­
> 邮箱:lee.liang"@molasia.com>,<"ç”µå­ é‚®ç®±ï¼šcelian.huang"@
> molcn.com.cn>,<"ç”µå­ é‚®ç®±ï¼šcatherine.huang"@molocb.com>,,,,,,,,,,,,,,,,,,,,,>
> Message-ID: <20150502214849.4AD1B5768899 en mail.timbo.com.py>, mail_id:>
> XBbs+KM6FQwt, Hits: 40.253, queued_as: 0FD6857688D6, 218 ms: 1 Time(s)>
>   WARN: address modified (recip):> <ç”µå­ é‚®ç®±ï¼š
> olivia.chen en molcn.com.cn>> -> <"ç”µå­ é‚®ç®±ï¼šolivia.chen"@molcn.com.cn>:>
> 1 Time(s)>      WARN: address modified (recip):> <ç”µå­ é‚®ç®±ï¼š
> hr en 51job.com>> -> <"ç”µå­ é‚®ç®±ï¼šhr"@51job.com>:> 1 Time(s)>      WARN:
> address modified (recip):> <ç”µå­ é‚®ç®±ï¼šcatherine.huang en molocb.com>>
> -> <"ç”µå­ é‚®ç®±ï¼šcatherine.huang"@molocb.com>:> 1 Time(s)>      WARN:
> address modified (recip):> <箱:celian.huang en molcn.com.cn> ->>
> <"箱:celian.huang"@molcn.com.cn>: 1 Time(s)>      INFO: truncating
> long header field (len=1254): X-Envelope-To:> , , ,> ,  [196.46.246.183]
> ->> ,,,,,,,,,,,,,,,,,,,,,,<"ä¼šè®¡æ–‡å‘˜ç”µå­ é‚®ç®±ï¼šivy.guo"@
> molcn.com.cn>,,,,,,,   .com>,,,,,,,,,,,,,,,,,,,> Message-ID: <
> 20150502134124.2C1681CE035B en mail.timbo.com.py>, mail_id:> yQPSPzzglZ-5,
> Hits: 35.918, queued_as: 895771CE0358, 213 ms: 1 Time(s)>      WARN:
> address modified (recip):> <ç”µå­ é‚®ç®±ï¼šlee.liang en molasia.com>> ->
> <"ç”µå­ é‚®ç®±ï¼šlee.liang"@molasia.com>:> 1 Time(s)>
> ---------------------------------------------------------------------------------------->
> Postfix> (De estas lineas hay cientos iguales)>   Unrecognized warning:>
>    TLS library problem: 13238:error:14077410:SSL>
> routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake>
> failure:s23_clnt.c:586: : 1 Time(s)>       TLS library problem:
> 13256:error:14077410:SSL> routines:SSL23_GET_SERVER_HELLO:sslv3 alert
> handshake> failure:s23_clnt.c:586: : 1 Time(s)>       TLS library problem:
> 13334:error:14077410:SSL> routines:SSL23_GET_SERVER_HELLO:sslv3 alert
> handshake> failure:s23_clnt.c:586: : 1 Time(s)> .......> host
> 0.0.0.0[0.0.0.0]:25 replied to HELO/EHLO with my own hostname>
> mail.timbo.com.py : 9 Time(s)>       host akerkvaener.com[127.0.0.4]:25
> replied to HELO/EHLO with my> own hostname mail.timbo.com.py : 1
> Time(s)>       host blackhole.superlink.net[127.0.0.3]:25 replied to
> HELO/EHLO> with my own hostname mail.timbo.com.py : 1 Time(s)>       host
> blackhole.theglobe.com[127.0.0.2]:25 replied to HELO/EHLO> with my own
> hostname mail.timbo.com.py : 2 Time(s)>       host fch.in[0.0.0.0]:25
> replied to HELO/EHLO with my own hostname> mail.timbo.com.py : 1
> Time(s)>       host mail.airport.com[127.0.0.6]:25 replied to HELO/EHLO
> with my> own hostname mail.timbo.com.py : 1 Time(s)>       host
> your-dns-needs-immediate-attention.sony[127.0.53.53]:25> replied to
> HELO/EHLO with my own hostname mail.timbo.com.py : 1> Time(s)>
>  network_biopair_interop: error reading 5 bytes from the network:>
> Connection reset by peer : 36 Time(s)>       network_biopair_interop: error
> reading 7 bytes from the network:> Connection reset by peer : 6 Time(s)>
>    network_biopair_interop: error writing 37 bytes to the network:> Broken
> pipe : 4 Time(s)>       network_biopair_interop: error writing 37 bytes to
> the network:> Connection reset by peer : 5 Time(s)>       no MX host for
> 265.com has a valid address record : 1 Time(s)>       no MX host for
> 3com.com has a valid address record : 8 Time(s)>       no MX host for
> aboutvoyeur.com has a valid address record : 1 Time(s)>       no MX host
> for accu-find.com has a valid address record : 1 Time(s)>       no MX
> host for amd.com.sg has a valid address record : 1 Time(s)>       no MX
> host for ap.altria.com has a valid address record : 1 Time(s)>       no
> MX host for apm-automotive.com.my has a valid address record : 1
> Time(s)>       no MX host for arabianbemco.com has a valid address record
> : 1 Time(s)>       no MX host for arcsight.com has a valid address record
> : 2 Time(s)>       no MX host for arrow-dynamic.com has a valid address
> record : 1 Time(s)>       no MX host for asiabrandscorp.com has a valid
> address record : 4 Time(s)>       no MX host for asiapulppaper.com has a
> valid address record : 1 Time(s)>       no MX host for astral.ro has a
> valid address record : 4 Time(s)>       no MX host for banco.com.sv has a
> valid address record : 1 Time(s)>       no MX host for baoshan.sh.cn has
> a valid address record : 1 Time(s)> .............> Aqui empieza la parte
> del SPAM:>> NOQUEUE: reject: RCPT from> 118-161-241-219.dynamic.hinet.net[118.161.241.219]:
> 554 5.7.1> <201.217.51.105>: Helo command rejected: Access denied;> from=
> to= proto=SMTP> helo=<201.217.51.105>>   A5E641CE0188: to=,> relay=
> gmail-smtp-in.l.google.com[74.125.21.26]:25, delay=8.1,>
> delays=0.05/0.01/1.4/6.6, dsn=5.7.1, status=bounced (host>
> gmail-smtp-in.l.google.com[74.125.21.26] said: 550-5.7.1>
> [201.217.51.105      12] Our system has detected that this message is>
> 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent> to
> Gmail, 550-5.7.1 this message has been blocked. Please visit> 550-5.7.1
> http://support.google.com/mail/bin/answer.py?hl=en&answer=188131> for 550
> 5.7.1 more information. f67si4365709yho.125 - gsmtp (in reply> to end of
> DATA command))>   A5E641CE0188: sender non-delivery notification:
> BBD821CE018E>   09F8F1CE0171: reject: RCPT from unknown[41.138.175.226]:
> 554 5.1.2> : Recipient address rejected: Domain not found;> from= to=
> proto=ESMTP> helo=>   0DD601CE0171: host gateway-f2.isp.att.net[207.115.11.16]
> refused to> talk to me: 550-201.217.51.105 blocked by
> ldap:ou=rblmx,dc=att,dc=net> 550 Error - Blocked for abuse. See
> http://att.net/blocks>   E9A9A1CE0188: to=,> relay=vip-us-br-mx.terra.com[208.84.244.133]:25,
> delay=1.3,> delays=0.06/0.03/1/0.16, dsn=5.2.1, status=bounced (host>
> vip-us-br-mx.terra.com[208.84.244.133] said: 550 5.2.1 Mailbox> disabled
> for this recipient (in reply to RCPT TO command))>   0DD601CE0171: host
> mx1.comcast.net[96.114.157.80] refused to talk to> me: 554
> resimta-po-04v.sys.comcast.net comcast 201.217.51.105 Comcast> block for
> spam.  Please see>
> http://postmaster.comcast.net/smtp-error-codes.php#BL000000>>
> ---------------------------------------------------------------------------------------->
> Y así como ese miles de líneas iguales.> Pero hice una búsqueda más
> exaustiva en el log y veo esto en> diferentes momentos del log que tuve que
> seguir por le ID del correo>> Apr 18 01:08:10 mail postfix/qmgr[23567]:
> CC59E1CE0171:> from=, size=3120, nrcpt=1 (queue acti> ve)> Apr 18 01:08:15
> mail postfix/qmgr[23567]: 75DCF1CE0188:> from=, size=3589, nrcpt=1 (queue
> active)> Apr 18 01:08:15 mail postfix/smtpd[31026]: disconnect from>
> mail.timbo.com.py[127.0.0.1]> Apr 18 01:08:15 mail amavis[27844]:
> (27844-05) Passed SPAM,> [68.15.32.120] [68.15.32.120]  ->> , Message-ID:> <
> 20150418050809.CC59E1CE0171 en mail.timbo.com.py>, mail_id:> 9bkgsnbCoNNP,
> Hits: 28.805, queued_as: 75DCF1CE0188, 5061 ms> Apr 18 01:08:15 mail
> postfix/lmtp[31023]: CC59E1CE0171:> to=, relay=127.0.0.1[127.0.0.1]:10024,>
> delay=5.9, delays=0.85/0.01/0/5.1, dsn=2.6.0, status=sent (250 2.6.0> Ok,
> id=27844-05, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as>
> 75DCF1CE0188)> Apr 18 01:08:15 mail postfix/qmgr[23567]: CC59E1CE0171:
> removed> Apr 18 01:08:16 mail postfix/smtp[31027]: certificate
> verification> failed for mx-eu.mail.am0.yahoodns.net: num=20:unable to
> get local> issuer certificate> Apr 18 01:08:16 mail postfix/smtp[31027]:
> certificate verification> failed for mx-eu.mail.am0.yahoodns.net:
> num=27:certificate not trusted> Apr 18 01:08:19 mail postfix/smtp[31027]:
> 75DCF1CE0188:> to=,> relay=mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25,
> delay=3.9,> delays=0.04/0.01/1.9/1.9, dsn=2.0.0, status=sent (250 ok
> dirdel)> Apr 18 01:08:19 mail postfix/qmgr[23567]: 75DCF1CE0188: removed>>
> Como ven aquí es donde mi problema entra.> El From: es claro que no es mio
> y el To: tampoco; sin embargo pasa por> mi servidor como perro por su casa.
> Lo que me deja que pensar en dos> posibles opciones:> 1- Una cuenta real
> del sistema está comprometida> 2- En el server hay un bot.>> La primera voy
> a resolver de a poco; quizá tengo una pequeña sospecha.> Pero necesitaría
> ayuda para verificar la dos. Ya he corrido rkhunter> varias veces y no me
> da problemas salvo que uso el puerto 465 para> SASL y tengo activo un rsync
> para sincronizar archivos compartidos con> el NAS, pero es todo local.
> Entonces precisaría alguna idea de como> buscar este posible bots o algun
> otro soft que esté haciendo de las> suyas.>> Existe algun metodo de
> búsqueda más intensivo que no sea solo con rkhunter?>> Saludos,> David>
> _______________________________________________> CentOS-es mailing list>
> CentOS-es en centos.org> http://lists.centos.org/mailman/listinfo/centos-es>_______________________________________________CentOS-es
> mailing listCentOS-es en centos.orghttp://
> lists.centos.org/mailman/listinfo/centos-es
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>


Más información sobre la lista de distribución CentOS-es