Invasão

geraldoquites · 2013-02-18T19:15:39-03:00

Tenho um servidor de webmail opensuse 11.4 64bits atualizado. Uso Apache e postfix com autenticação sasldb. Usso conexão externo com ssh em porta diferente da 22 e não permito acesso direto ao root. Há poucos dias venho observando uma saida superior de emails. Quando verifiquei os logs, pude observar que alguem está conseguindo enviar emails (spam) usando o meu servidor. Fiz um teste externo usando o telnet na minha porta 25 e ele não deixa sair emails que não são do meu dominio, observando isso conclui que ele está tendo acesso direto a minha máquina, mas conferi os log de messagens e não tem nenhum acesso externo como root. Vendo os logs de firewall, observei um grande acesso na porta 443(https) e na porta 25 usando também http, pergunto, um hacker poderia enviar emails usando essas portas em http e https diretamente no meu servidor? Se parte do meu logo de email: Feb 15 23:46:49 mail postfix/smtpd[15739]: BF9E9240048: client=localhost[127.0.0.1] Feb 15 23:46:50 mail postfix/cleanup[15746]: BF9E9240048: message-id= Feb 15 23:46:50 mail postfix/qmgr[3462]: BF9E9240048: from=, size=1808, nrcpt=2 (queue active) Feb 15 23:46:50 mail postfix/local[15750]: BF9E9240048: to=, relay=local, delay=0.68, delays=0.59/0/0/0.08, dsn=2.0.0, status=sent (delivered to maildir) Feb 15 23:46:50 mail postfix/smtpd[15739]: disconnect from localhost[127.0.0.1] Feb 15 23:46:50 mail postfix/smtp[15749]: BF9E9240048: to=, relay=meuservidor.com.br[189.55.14.169]:25, delay=1.3, delays=0.59/0.03/0.48/0.2, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as BC37363E5B) Feb 15 23:46:50 mail postfix/qmgr[3462]: BF9E9240048: removed segue parte do meu sarg com acesso na porta 443 e 25 no mesmo dia e horários: 175.192.97.176 - - [15/Feb/2013:23:36:02 -0200] "CONNECT 203.138.180.240:25 HTTP/1.0" 405 978 "-" "-" 175.192.97.176 - - [15/Feb/2013:23:36:02 -0200] "CONNECT 111.87.239.132:25 HTTP/1.0" 405 977 "-" "-" 210.83.80.91 - - [15/Feb/2013:23:36:02 -0200] "CONNECT 202.179.204.254:25 HTTP/1.0" 405 978 "-" "-" 173.45.85.60 - - [15/Feb/2013:23:39:02 -0200] "CONNECT 211.10.20.55:25 HTTP/1.0" 405 975 "-" "-" 173.45.85.54 - - [15/Feb/2013:23:48:02 -0200] "CONNECT 210.130.202.81:25 HTTP/1.0" 405 977 "-" "-" 175.192.97.176 - - [15/Feb/2013:23:48:02 -0200] "CONNECT 202.179.204.254:25 HTTP/1.0" 405 978 "-" "-" 173.45.85.55 - - [15/Feb/2013:23:54:01 -0200] "CONNECT 139.80.128.128:25 HTTP/1.0" 405 977 "-" "-" 64.79.92.60 - - [15/Feb/2013:23:57:01 -0200] "CONNECT 202.216.228.58:25 HTTP/1.0" 405 977 "-" "-" 64.79.92.60 - - [16/Feb/2013:00:06:04 -0200] "CONNECT 210.155.226.61:25 HTTP/1.0" 405 977 "-" "-" 188.193.204.102 - - [12/Feb/2013:18:36:05 -0200] "CONNECT 205.188.95.208:443 HTTP/1.0" 405 977 "-" "-" 188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-" 188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-" 188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-" 173.45.94.40 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 131.232.10.21:25 HTTP/1.0" 405 976 "-" "-" 188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-" 188.193.204.102 - - [12/Feb/2013:18:36:07 -0200] "CONNECT 205.188.95.208:443 HTTP/1.0" 405 977 "-" "-" 173.45.94.43 - - [12/Feb/2013:18:39:01 -0200] "CONNECT 183.79.57.238:25 HTTP/1.0" 405 976 "-" "-" Agradeço ajuda para resolver este problema. Geraldo.

Responder tópico

01 02

13. Re: Invasão

Enviado em 19/02/2013 - 11:01h

Geraldo, suspeito que algum usuário que usa outlook está com o pc infectado eviando spam pelo seu servidor. Dá para enviar e-mail de fora da sua rede pelo outlook? No seu main.cf, como está o parâmentro mynetworks?

Responder tópico

14. Re: Invasão

Enviado em 19/02/2013 - 11:02h

É, vou pensar nisso, com o IDS fica amais fácil de monitorar os intrusos..

observei um log de tentativa de envio, foi vc?

Feb 19 10:55:37 mail postfix/smtpd[32342]: NOQUEUE: reject: RCPT from mail.cidadaopg.sp.gov.br[201.91.155.19]: 554 5.7.1 <fddf@fdf.com>: Relay access denied; from=<asds@fdd.com> to=<fddf@fdf.com> proto=SMTP

15. Re: Invasão

Enviado em 19/02/2013 - 11:12h

Paolini, ótimo que deu relay denied, significa que não poderá sair email não autenticado pela rede externa.

Temos usuários usando outlook pela rede externa, mas se não houver autenticação este email não sai, ok?

Pelo visto, o envio está sendo feito de dentro do servidor. mas não sei por onde, minha suspeita é pelo proxy do apache.

16. Re: Invasão

Enviado em 19/02/2013 - 11:24h

No log fica muito claro que o email está saindo de dentro do meu servidor e não de acesso externo. observe:

log de saida de email com acesso externo:
client=outmail007.snc7.facebook.com[69.171.232.141]

O cliente neste caso é o facebook fazendo conexão no meu servidor para entregar ou enviar email.

log de saida de email com acesso interno:
client=localhost[127.0.0.1]

O cliente neste caso é o localhost, o mesmo usando para envio dos spams.

17. Re: Invasão

Enviado em 19/02/2013 - 11:29h

Realmente Geraldo, com o saslauth habilitado, os e-mails só podem ser enviados com autenticação. Porém no cabeçalho que vc postou não tinha nenhum usuário válido do seu domínio autenticado. Dei uma pesquisada sobre o problema estar relacionado com o apache, achei o link abaixo. Não tem muita coisa mas já da p ter uma idéia:

https://under-linux.org/showthread.php?t=46462

01 02

Responder tópico

Entre na sua conta para responder.

Fazer login para responder