ISP Porta bloqueada 25 devido a spam

20

Pergunta principal:

É possível ser infectado com um software de bot / spam no Ubuntu (ou qualquer outra distro)?

Detalhes:

Meu ISP bloqueou minha porta 25 (e 465) para conexões de saída (conexões de saída, de casa para servidor remoto) para SMTP, então não posso usar meus emails comerciais de casa agora. Seu raciocínio para me bloquear é: "por causa de você enviar spam", o que eu não sou, e eles me disseram que, se eu não estou enviando, meu sistema operacional provavelmente está infectado ...

Eu poderia usar uma lista abrangente de ferramentas e guias para verificar o sistema ( Ubuntu 13.10 14.04 64bit ) para qualquer infiltração / malware / rootkits.

P.S.

  • Eu também tenho o Windows 8.1 (64 bits) instalado só porque eu também gosto de jogo no meu computador de casa ... mas isso é o que eu só faço em Windows ... quando tenho tempo ...

  • O dispositivo sem fio está desativado e, mesmo que esteja em uso, está protegido.

  • A varredura de janelas não revelou nada nem deveria ter ocorrido desde então há janelas e jogos instalados lá.

  • Posso me conectar a outras portas para SMTP, mas nosso servidor usa 25 e isso não pode mudar

  • Eu também testei a conexão à porta 25 do windoze (usando o thunderbird)

  • Eu uso o thunderbird para o cliente de e-mail no Ubuntu e testei alguns outros só para verificar se não era um misconfig do thunderbird.

  • O telnet também gera tempo limite de conexão ...

EDITAR: Meu ISP ainda se recusa a me desbloquear ... Talvez eu tenha que abrir o 587 no servidor, já que ele não está bloqueado no momento (ainda posso usar o Gmail)

EDIT 2:

Eu acho que hoje eu estava conectado com outra tecnologia do suporte do meu provedor e me disse que não há um bloco deles ... Eu estava furioso !!! Eu não sei o que a tecnologia anterior estava fazendo ... talvez ele seja novo e estivesse lendo um roteiro.

Então eu testei outro ISP via tethering do meu telefone e consegui enviar e-mails através da porta 25. Essencialmente, eu não mudei nada, apenas o ISP. Eles estão brincando comigo? Talvez o suporte técnico não saiba como interpretar o que eles procuram em suas telas para minha conta ou poderia ser outra coisa?

Outro passo que tomei foi redefinir totalmente o meu roteador para as configurações padrão e obter outro IP dinâmico. Ainda sem conexão com a porta 25.

Estou planejando obter um roteador usado de algum amigo ou algo para testar com outro roteador apenas para ter certeza de que o problema está no meu provedor.

EDIT 3: Já faz algum tempo desde a minha última atualização para essa pergunta. Voltei para a minha antiga casa (que é em uma parte diferente do país) onde eu tenho o mesmo provedor de internet. A mesma empresa !! Minhas configurações apenas funcionam como esperado. Eu posso enviar e-mails muito bem usando a porta 25. Aposto que o problema era com aquele roteador desagradável da ZTE que o ISP distribui para novos clientes.

    
por Petsoukos 25.03.2014 / 17:01

6 respostas

32

É possível?

Por que não seria ? O Ubuntu é um sistema realmente flexível que compartilha muitos problemas com a maioria dos outros sistemas operacionais:

  • Software no Ubuntu pode ser explorado
  • Você não precisa do root para executar um daemon de spam.
  • As pessoas podem quebrar a autenticação fraca
  • Os usuários do Ubuntu podem ser convencidos a instalar / executar praticamente qualquer coisa
  • Uma vez dentro, os hackers podem fazer upload / download remoto de mais software para enviar spam

Vamos apenas ser realistas sobre segurança aqui. Uma exploração em Flash de plataforma cruzada pode ser facilmente traduzida em um dropper carregando e instalando um daemon de spam que é executado no login. Não precisa de raiz.

Verifique novamente a história do ISP

"Mas meu ISP não mentiria para mim!" disse ninguém sempre . Muitos ISPs domésticos bloqueiam habitualmente a porta 25 e outros obrigam você a usar seus servidores SMTP (essa é a única conexão p25 de saída que eles permitirão).

Ser um moderador permite-me ver o seu IP e verifiquei o seu ISP inicial. Se você usa o nome do Google e a "porta 25" ou "smtp", verá muitas outras pessoas em situações semelhantes. E eles têm um servidor SMTP central.

Eu sei que você disse que isso é um problema novo, mas apenas verifique se não é o seu ISP (ou se precisa das configurações corretas no seu ISP). A solução alternativa no final ainda deve funcionar para você.

Encontrando o problema

Embora seja possível, ainda não sei se é o alvo mais provável. Se você é como eu, você está cercado por dispositivos conectados à internet e precisa olhar para todos eles.

Eu começaria perguntando ao ISP por alguma evidência. Timestamps no mínimo, mas seria ótimo para ver o que eles estão usando para se certificar de que não é um auto-flag errado.

  • Pode ser que alguém tenha sinalizado um e-mail de trabalho com o departamento de abuso do provedor.
  • Você precisa saber qual sistema operacional você estava usando no momento. Tanto o Ubuntu quanto o Windows mantêm registros de autenticação, então compare-os com qualquer evidência que eles possam enviar para você.
  • Registre a atividade da porta de saída 25 com algo como:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    Honestamente, não tenho certeza se isso funcionará se você já estiver bloqueado, mas vale a pena tentar. Vários firewalls do Windows oferecem várias alternativas de registro.

  • Observe que qualquer dispositivo na sua conexão pode estar enviando e-mails, não apenas seu computador. Telefones, torradeiras habilitados para wifi, vizinhos impertinentes, etc. Encontrar o que está enviando este e-mail pode exigir uma interceptação e registro de pacotes em nível de rede. Isso tudo é possível, mas é uma dor na parte de trás.

  • Depois de esgotar os caminhos mais prováveis, escolha o software antivírus do Linux . Eu não posso falar pessoalmente por nenhum deles ou suas taxas de detecção.

Trabalhando em torno de um bloco imediatamente

Se você precisar continuar, a maneira mais fácil de continuar enviando e-mails é por meio de algum tipo de conexão ofuscada ou criptografada. Se você tiver acesso a um servidor SSH (por exemplo, no trabalho), esse pode ser o melhor método.

ssh -D9100 user@host

Em seguida, basta alterar seu cliente de e-mail para usar um endereço de proxy SOCKS localhost , port 9100 . Seu ISP não será capaz de interferir nisso e eu ficaria muito surpreso se o que estiver enviando o spam puder adivinhar a configuração do SOCKS.

O que é mais provável neste caso ...?

Verifique se você pode enviar e-mails através do servidor SMTP do seu provedor. Eu verifiquei, o seu tem um. Eles podem estar forçando todos os seus usuários a usá-lo, pois isso é muito comum. A pessoa de suporte técnico pode estar confusa.

Peça a outro usuário (com outra conta, em outra linha telefônica) para tentar se conectar ao SMTP da sua empresa. Isso pode ser feito rapidamente com telnet example.com 25 .

  • Se eles não conseguirem se conectar, assuma que isso é em todo o ISP - não apenas em sua conta -, por isso provavelmente não é um problema de segurança ... É apenas algo com o qual você poderá trabalhar ou trabalhar. / p>

  • Se eles puderem se conectarem, você estará de volta à estaca zero. Houve algo enviando e-mails de sua rede que acionaram seu ISP para bloqueá-lo. Varreduras de vírus, monitoramento de tráfego e paranoia são seus melhores amigos aqui.

por Oli 25.03.2014 / 17:54
8

É certamente possível ser infectado e fazer parte de uma botnet no Ubuntu. Mas também é muito improvável.

Você deve ser capaz de perguntar ao seu provedor pelos registros. Eles ajudarão você a encontrar o problema. É difícil diagnosticar a partir daqui, mas seu wireless tem uma boa chance de ser o culpado. Por favor, verifique se você está usando o WPA2 para segurança e se o WPS está desativado.

Depois de resolver seu problema e parar de enviar spam por um tempo, você provavelmente pode convencer seu ISP a desbloquear suas portas.

    
por Javier Rivera 25.03.2014 / 17:57
5

É uma prática comum bloquear a porta de saída 25, já que, devido a preocupações com spam, ela ficou desencorajada para o envio original de e-mail. Ainda é usado entre servidores de e-mail.

A porta adequada (e normalmente não bloqueada) para envio de email (original) é a Porta 587, a chamada porta de envio. Normalmente, os provedores de e-mail o suportam, os operadores do sistema geralmente não o bloqueiam.

    
por fstd 26.03.2014 / 15:58
4

Muitos ISPs bloqueiam as portas 25 e 80 para todas as suas contas de consumidor. Eu uso um serviço de hospedagem que inclui serviço de e-mail. eles me fornecem um servidor smtp em uma porta não padrão para e-mails enviados. Isso funciona em qualquer lugar. Você pode ter acesso a algo semelhante. Pense nos serviços que você já tem e investigue-os.

    
por Marc 25.03.2014 / 17:51
2

Muitas das outras respostas se concentram em alguém que usa seu Wi-Fi ou infecta suas máquinas. Estes são possíveis, mas ignoram a explicação mais simples (a navalha de Occam ...).

O mais provável é que você esteja agindo como um retransmissor aberto, o que significa que qualquer pessoa no mundo pode se conectar à sua máquina e pedir para enviar mensagens para algum lugar, e você fará isso, sem fazer perguntas. Frequentemente, é por isso que os ISPs o bloquearão porque é um teste simples para eles. Eles irão escanear o bloco de IP do cliente e pedir qualquer coisa na porta 25 para transmitir uma mensagem de teste e, se você fizer isso, você é um spammer. Pode ser o caso de que ninguém está realmente usando seu revezamento, mas sua mera existência é suficiente para ser bloqueada.

Para testar se você é um retransmissor aberto, telnet para o seu servidor de e-mail e fale com ele. As linhas em negrito são aquelas que você digita.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
554 5.7.1 <[email protected]>: Relay access denied

As linhas que você digita são as linhas helo , mail from: e rcpt to: . Certifique-se de usar endereços que não são locais para você, ambos precisam ser hosts remotos. Se você não obtiver o erro 554 relay denied , será um gateway de spam configurado incorretamente e bloqueado corretamente.

A maneira mais simples de remediar isso é exigir autenticação para enviar mensagens por meio de seu MTA. Os detalhes para configurar isso dependem do MTA que você está executando, um detalhe que não está presente na sua pergunta.

    
por casey 26.03.2014 / 21:46
0

Só para garantir que você não tenha algo ruim em execução na sua caixa ou rede Linux.

Verifique você mesmo sua rede

Comece executando isso em sua máquina Linux em casa:

netstat -ta

Isto listará todas as conexões tcp estabelecidas ou ouvindo (com servidores por trás delas). Se houver algo que você não espera, você deve investigar mais.

Outro comando muito útil que lista todos os processos com conexões de internet que eles mantêm em aberto é:

sudo lsof -i

(você precisará ter o pacote lsof instalado.)

Observe que os testes acima não abrangem outros dispositivos que compartilham sua conexão com a Internet: telefone, tablets, dispositivos habilitados para internet, vizinhos, manobristas em sua conexão etc., como Oli mencionou. Se você tem uma lista de seus IPs internos, você pode executar uma varredura de porta externa em cada um deles, um por um, da sua caixa de Linux:

sudo nmap <internal-ip-address>

(requer o pacote nmap ). Pode revelar portas e serviços abertos em vários dispositivos que você pode não estar ciente.

    
por arielf 29.03.2014 / 01:45

Tags