Lista negra de falsos IPs na CBL e na Spamhaus ZEN

Eu recomendo que você visite os sites da CBL e Spamhuas novamente, porque eles têm todas as informações que você precisa para começar a solução de problemas e proteger seu servidor. As informações lá podem ajudá-lo a entender como funciona o processo de blacklisting e por que alguém é listado e também conselhos sobre como manter o servidor seguro para evitar blaklisting.

Vou apenas citar algumas partes importantes da CBL, o resto você pode verificar por si mesmo. O ponto é, desde que você está sendo listado novamente e novamente, seu servidor é provavelmente comprometido e não está relacionado ao seu postfix. Agora você precisa investigar e descobrir a possível causa . Pode ser um rootkit ou um trojan ou spambot ou apenas outro script malicioso. Você precisa fazer uma varredura completa do seu sistema para possíveis problemas. Depois de encontrar a causa real, você poderá resolver o problema e tomar as medidas necessárias para evitar que isso aconteça novamente.

Aqui é da CBL:

What is the CBL?

The CBL takes its source data from very large mail server (SMTP) installations. Some of these are pure spamtrap servers, and some are not.

The CBL only lists IPs exhibiting characteristics which are specific to open proxies of various sorts (HTTP, socks, AnalogX, wingate, Bagle call-back proxies etc) and dedicated Spam BOTs (such as Cutwail, Rustock, Lethic, Kelihos etc) which have been abused to send spam, worms/viruses that do their own direct mail transmission, or some types of trojan-horse or "stealth" spamware, dictionary mail harvesters etc.

I'm running Linux (FreeBSD, OpenBSD, UNIX...) and CANNOT be infected with a virus!

While it is perfectly true that UNIX-like operating systems are almost NEVER infectable with Windows viruses, there are a number of virus-like things that UNIX-like systems are susceptible to. For example:

• Windows emulation software (eg: VMWARE or Wine) are just as susceptable to infection as native Windows. In fact, it's probably somewhat more likely that an emulator instance of Windows gets infected, because the fact that it's running under another O/S can lead to a false sense of security, and emulator instances are less likely to be protected with a full anti-virus suite.
• Open proxies (eg: insecure Squid configurations) leading to open proxy spamming.
• Web server vulnerabilities or compromises. For example, the DarkMailer/DirectMailer trojan is injected via FTP (using compromised user's userid/passwords) onto web servers, and thereupon is used to send very larger volumes of spam. Virtually all web servers are susceptible to this if they permit upload of content from the Internet.
• Application vulnerabilities: many applications have security vulnerabilities, particularly those associated with PHP on web servers. Eg: older versions of Wordpress, PHPNuke, Mamba etc. Some of these vulnerabilities are to the extent that a malefactor can install a full proxy/trojan spamming engine on your machine and control it remotely. Through this, they can set up spamming engines, open proxies, malware download and spam redirectors. Watch out for strange directories being created, particularly those starting with a "." in /tmp. Check for this by doing an "ls -la" in /tmp, and look for directory names starting with "." (other than "." and ".." themselves).

Para solução de problemas e proteção

• It is CRITICALLY IMPORTANT that all web-facing applications or application infrastructures (Wordpress, Joomla, Cpanel, etc. etc.) are kept fully patched and up-to-date. Furthmore, userid/passwords and other credentials for logging into such systems should be highly protected, require strong passwords and changed as frequently as practical/feasible.

• Such sites should consider continous monitoring of web, ftp and other subsystems.

• Rootkits are where a malicious entity has installed software on your machine and buried it in such a way that the normal system utilities cannot find it. In some cases they replace the normal system utilities with hacked versions that won't show their tracks.

• Check that you have good remote login-capable passwords (eg: telnet, FTP, SSH), inspect your logs for large quantities of failed/SSH/telnet login attempts.

• Consider running a "system modification" detector such as Tripwire or rkhunter. Tripwire is designed to detect and report modification to important system programs. Rkhunter does what Tripwire does, but looks for specific rootkits, insecure versions of system software and more. Not all viruses are windows binaries. Some viruses/worms are in application-level files using non-binary programming techniques (such as macro viruses, Java, PHP or Perl). These can be truly infectious cross-platform.

Mais sobre MailServer na CBL: Servidor de e-mail no CBL

De Spamhuas:

O que é o "sequestro de proxy"? O que preciso saber sobre proxies?

O que é um "honeypot" ou "proxypot"? O que é um "proxy hijack source" ou "C & C"?

Estou chegando atrasado, mas:

1. Você não está mais na lista de Spamhaus.
2. A CBL removeu você, mas explica:

IP Address 23.239.30.81 is not listed in the CBL.

It was previously listed, but was removed at 2015-12-07 18:46 GMT (1 days, 5 hours, 1 minutes ago) At the time of removal, this was the explanation for this listing:

This IP is infected (or NATting for a computer that is infected) with the kelihos spambot. In other words, it's participating in a botnet.

If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.

Quando isso aconteceu conosco, foi porque um cliente trouxe um laptop infectado para a nossa rede. A rede de convidados é separada da nossa rede principal, mas ainda é NAT através do mesmo IP que o nosso tráfego regular, incluindo o nosso servidor de e-mail.

Parece que você está usando hospedagem compartilhada. Se você está compartilhando um IP, é possível que um dos outros hosts seja realmente o que está infectado. Isso pode ser um caso para hospedagem de suporte, em caso afirmativo. Mas a boa notícia é que você não está mais em nenhuma das listas.

Se você está no CBL, isso provavelmente não é um problema com o seu Postfix. A CBL não lista os MTAs de retransmissão aberta, mas sim os servidores que são "proxies de spam". Os últimos geralmente vêm de scripts da web ou de outros programas que foram carregados, explorando algumas brechas de segurança.

Como esta é uma pilha LAMP, eu começaria verificando se não há script backdoor PHP. Verifique se os seus diretórios de dados que são graváveis pelo PHP (ou outros mecanismos de script, se você tiver algum) contenham arquivos de script. Normalmente, apenas diretórios selecionados de seus aplicativos da Web PHP devem ser graváveis, exceto pelo usuário root, certifique-se de que esteja configurado dessa maneira. No nível do servidor da Web, os diretórios de dados devem servir apenas arquivos com extensões seguras (imagens, documentos, etc., nunca qualquer script). Atualize (ou, se possível, atualize) seus arquivos de script de aplicativo da web.

Não vai doer também proteger a porta 465 / TCP como você fez com 25 / TCP.

@ Katherine-vilyard deu-lhe informações muito específicas (da CBL) sobre o motivo pelo qual o seu servidor está identificado como enviando spam: ele é identificado como enviando spam devido a uma infecção com o kelihos spambot.

Você diz que tem uma porta de saída com firewall 25, de modo que somente o postfix pode usá-la. Não podemos verificar se isso está correto, a menos que, por exemplo, você nos forneça a saída de sudo iptables -L -v . Talvez você tenha cometido um erro lá, ou talvez o e-mail esteja de fato passando pelo postfix. Talvez exista um bot de spam no seu sistema que tenha permissões suficientes no seu servidor para contornar isso. por exemplo. executando como postfix. Talvez você esteja transmitindo spam em vez de agir como a fonte. Parece que você está ciente dos problemas de encaminhamento de spam e está atento a isso.

Parece que você está em condições de restringir o host de destino para conexões pela porta 25? Faça isso se possível.

Se o e-mail estiver passando pelo postfix, usando sua configuração usual, ele será registrado. Você tem um timestamp muito específico para analisar (da CBL). Você deve começar a encontrar esse e-mail, ou pelo menos obter todas as informações que puder sobre isso a partir dos seus registros de e-mail. O bit sobre HELO 127.0.0.1 deve ser uma pista importante - seu servidor postfix normalmente faz isso? Se não, é provável que o e-mail não tenha sido enviado pelo seu servidor de pós-correção. Eu estou supondo que é o caso.

Você não deve presumir que o servidor postfix que grava seus e-mails de saída é suficiente. Que tal capturar todo o tráfego na porta 25 com tcpdump -i any -w dumpfile port 25 e depois passar por isso? Examinar isso para um timestamp que a CBL identifique seria útil. Procure por conexões de email para o destino inesperado. Compare os horários das conexões com os timestamps que você vê nos seus registros. (Sim, eu sei que estou encobrindo os detalhes de como processar o dumpfile. O Wireshark pode ser útil, e também ngrep).

Pelo que entendi, Kelihos infecta PCs com Windows. Isso implica que seu servidor está agindo como uma espécie de relay rahter do que uma fonte. Você está executando uma VPN através dele? Você está usando para transmitir seu próprio e-mail de saída? Tem certeza de que não é utilizável como retransmissão por outro host?