Detecção de Infecção por Spambot

1

Meu servidor foi bloqueado pela CBL por participar do curtwail spambot.

Inicialmente, suspeitávamos que era proveniente de um PC e não do servidor, mas o roteador está bloqueando todos os pacotes em 25, exceto os que vêm do servidor.

Acabei de executar o comando tcpdump e a cada 5 minutos vejo uma enxurrada de atividades na porta 25 que é muito suspeita e tenho certeza de que há algum processo em execução no servidor:

13:02:30.027436 IP exprod5og110.obsmtp.com.53803 > ubuntu.local.smtp: Flags [S], seq 171708781, win 5744, options [mss 1436,sackOK,TS val 3046699707 ecr 0,nop,wscale 2], length 0

Parei o postfix e ainda há tráfego na porta 25 acima.

Mas como posso descobrir qual processo está realmente se comunicando na porta 25, pois é apenas por alguns segundos e, por exemplo, lsof -i: 25 nunca irá detectá-lo.

Eu tenho trabalhado nisso agora por 2 dias, é um servidor ao vivo e não posso simplesmente desligá-lo, alguma sugestão sobre como eu posso detectar a origem deste processo bot de e-mail?

    
por crankshaft 31.10.2013 / 05:47

2 respostas

1

Normalmente, quando o postfix não está enviando spam, é o servidor da Web.

Portanto, eu usaria o tcpdump para ver se algum spam é enviado e, em seguida, pare o apache e verifique com o tcpdump se algum spam ainda é enviado.

Agora há outro ponto em questão que eu gosto: "Como posso monitorar qual processo usa o número TCP 12345 da porta? Um tipo de lsof interativo ou netstat -ntp"

Eu acho que o iftop não pode fazer o truque.

Esta é IMHO, a parte realmente interessante na sua pergunta e você deve perguntar novamente como uma questão independente, pois pode ser interessante para muitos leitores.

    
por 31.10.2013 / 11:56
0

Talvez você deva usar alguma ferramenta como o wireshark para analisar o tráfego proveniente do servidor? Você deve identificar o tráfego não aprovado, como Spam.

Siga este guia: link Além de rkhunter e chkrootkit, verifique seu servidor com o tigre.

Se este servidor é um sistema produtivo em que você confia, você definitivamente precisa ter certeza de que nenhum bandido pode acessar o servidor mais. Se você não tiver certeza de que o sistema está limpo novamente, é necessário reinstalar o sistema ou fazer um backup limpo para ter certeza.

    
por 31.10.2013 / 09:02

Tags