web-dev-qa-db-ja.com

CBLおよびSpamhausZENでの誤ったIPブラックリスト

私はこれを通り抜けました: Spamhaus XBLは私のIPを追加し続けます

私はPostfixを使用してUbuntuでサーバー23.239.30.81を管理しています。

過去6か月ほどから、私はすべての転送を開始しました。

  • Cronデーモンログ
  • PostfixSMTPエラー
  • DrupalWebサイトのエラーログ
  • サブスクリプションメールなどのコピー

私の1つのhotmailメールに。

しかし、2週間前に、Spamhaus ZEN&CBLブラックリストに登録されました。しかし今、私は電子メールをhotmailから1つのプライベートに管理されたMSExchangeメールサーバーに変更しました。

しかし、それでも3日後、ブラックリストに追加されます。

1年以来、 pflogsumm を使用したcronスクリプトを使用した電子メール監視の設定もあります。これにより、送信される1日あたりの電子メール数が300を超えるかどうかが通知されます。午後と私はちょうど93を見ることができます

今、私は「[email protected] "接尾辞main.cfこのサーバーからのすべての送信メールを表示できるようにします。これが それらのメールのスナップショット です。

スパムはありません..私はそれらを(上記に加えて)見ることができます:

  • お問い合わせメッセージ
  • フォーラムの返信
  • アカウントアクティベーションメール
  • Mysqlデータベースのバックアップ
  • 広告レポートなど

メールをプライベートメールサーバーに転送していますが、Spamhaus ZENとCBLがこれらのメール(フォーラムのサブスクリプションと返信を除く)を表示して、このIPを再度ブラックリストに登録できるのはなぜですか?

Cbl [@] abuseat.orgにメールを送信しましたが、システムのウイルスなどをチェックするための自動返信しかありません。

また、clamAVアンチウイルスを使用してシステムを実行しました。

すべてのフォーラムの返信とサブスクリプションおよびアクティベーションの電子メールには、サブスクリプション解除情報が含まれています。ただし、エラーログはそうではありません。

何が欠けている可能性がありますか?

Update:メールをPostfix経由でのみ送信するように制限しました: Postfixがポート25のSMTP経由でのみメールを送信できるようにするファイアウォールルール そして私は すべての電子メールのコピー を持っています、そしてどれもスパムではありません。しかし、それは約15時間後に4回目に再上場されました。

今日(12月8日)CBLからこの返信があります:

IP 23.239.30.81はスパムウェアに感染しており、最近では次の場所で検出されました。

2015:12:04〜14:30 UTC +/- 15分(約3日、3時間、59分前)

このホストは[127.0.0.1]としてHELOされました...それを修正してください。

2
user5858

CBLとSpamhuasのWebサイトには、サーバーのトラブルシューティングと保護から始めるために必要なすべての情報が含まれているため、もう一度確認することを強くお勧めします。そこにある情報は、ブラックリストプロセスがどのように機能するのか、なぜリストされるのかを理解するのに役立ちます。また、ブラックリストに載らないようにサーバーを安全に保つためのアドバイスもあります

CBLの重要な部分をいくつか引用しますが、残りは自分で確認できます。重要なのは、何度もリストに載っているので、サーバーが危険にさらされている可能性が高く、接尾辞とは関係ありません。次に、考えられる原因を調査して見つける必要があります。ルートキット、トロイの木馬、スパムボット、またはその他の悪意のあるスクリプトである可能性があります。考えられる問題については、システムを完全にスキャンする必要があります。本当の原因を見つけたら、問題を解決し、再発を防ぐために必要な手順を実行できます。

これはCBLからのものです:

[〜#〜] cbl [〜#〜] とは何ですか?

CBLは、非常に大規模なメールサーバー(SMTP)インストールからソースデータを取得します。これらのいくつかは純粋なスパムトラップサーバーであり、いくつかはそうではありません。

CBLは、さまざまな種類のオープンプロキシ(HTTP、ソックス、AnalogX、ウィンゲート、Bagleコールバックプロキシなど)および専用のスパムBOT(Cutwail、Rustock、Lethic、Kelihosなど)に固有の特性を示すIPのみを一覧表示します。スパム、独自の直接メール送信を行うワーム/ウイルス、またはある種のトロイの木馬または「ステルス」スパムウェア、辞書メールハーベスターなどを送信するために悪用された。

Linux(FreeBSD、OpenBSD、UNIX ...)を実行していて、感染できませんウイルスに感染しています!

UNIXライクなオペレーティングシステムがWindowsウイルスに感染することはほとんどないことは完全に真実ですが、UNIXライクなシステムが影響を受けやすいウイルスのようなものがいくつかあります。例えば:

  • Windowsエミュレーションソフトウェア(例:VMWAREまたはWine)は、ネイティブWindowsと同じように感染しやすくなっています。実際、Windowsのエミュレータインスタンスが感染する可能性は多少高くなります。これは、Windowsが別のO/Sで実行されているという事実が誤った安心感につながる可能性があり、エミュレータインスタンスが完全なアンチウイルスで保護される可能性が低いためです。 -ウイルススイート。
  • オープンプロキシスパムにつながるオープンプロキシ(例:安全でないSquid構成)。
  • Webサーバーの脆弱性または侵害。たとえば、DarkMailer/DirectMailerトロイの木馬はFTP経由で(侵害されたユーザーのユーザーID /パスワードを使用して)Webサーバーに注入され、その結果、非常に大量のスパムを送信するために使用されます。インターネットからのコンテンツのアップロードを許可している場合、事実上すべてのWebサーバーがこの影響を受けやすくなります。
  • アプリケーションの脆弱性:多くのアプリケーションにはセキュリティの脆弱性があり、特にWebサーバー上のPHPに関連するものです。例:古いバージョンのWordpress、PHPNuke、Mambaなど。これらの脆弱性の一部は悪意のあるものです。完全なプロキシ/トロイの木馬スパミングエンジンをマシンにインストールしてリモートで制御できます。これにより、スパミングエンジン、オープンプロキシ、マルウェアダウンロード、スパムリダイレクタを設定できます。作成される奇妙なディレクトリ、特に「」で始まるディレクトリに注意してください。/tmp内の。 "。/tmp内で" ls -la "を実行してこれを確認し、"。 "で始まるディレクトリ名を探します("。 "と" .. "自体を除く)。

トラブルシューティングと保護用

  • すべてのWeb向けアプリケーションまたはアプリケーションインフラストラクチャ(Wordpress、Joomla、Cpanelなど)を維持することが非常に重要です完全にパッチが適用されて最新。さらに、ユーザーID /パスワードおよびその他このようなシステムにログインするための資格情報は高度に必要です保護、強力なパスワードが必要であり、実用的/実行可能な限り頻繁に変更されます。

  • このようなサイトでは、Web、FTP、およびその他のサブシステムの継続的な監視を検討する必要があります。

  • Rootkitsは、悪意のあるエンティティがソフトウェアをマシンにインストールし、通常のシステムユーティリティが見つけられないように埋め込んだ場所です。場合によっては、通常のシステムユーティリティを、トラックを表示しないハッキングされたバージョンに置き換えます。

  • リモートログインに対応した適切なパスワードがあることを確認してください(例:telnet[〜#〜] ftp [〜#〜][〜#〜] ssh [〜#〜])、失敗した/ SSH/telnetログインの試行が大量にないかログを調べます。

  • Tripwirerkhunterなどの「システム変更」検出器の実行を検討してください。 Tripwireは、重要なシステムプログラムの変更を検出して報告するように設計されています。 RkhunterはTripwireと同じように動作しますが、特定のルートキット、安全でないバージョンのシステムソフトウェアなどを探します。すべてのウイルスがWindowsバイナリであるわけではありません。一部のウイルス/ワームは、非バイナリプログラミング手法(マクロウイルス、Java、PHPまたはPerl)など)を使用するアプリケーションレベルのファイルにあります。これらは、真に感染性のあるクロスプラットフォームである可能性があります。

CBLのメールサーバーの詳細: CBLのメールサーバー

Spamhuasから:

「プロキシハイジャック」とは何ですか?プロキシについて何を知る必要がありますか?

「ハニーポット」または「プロキシポット」とは何ですか?「プロキシハイジャックソース」または「C&C」とは何ですか?

3
Diamond

私は遅れて来ますが:

  1. あなたはもはやスパムハウスリストに載っていません。
  2. CBLはあなたを削除しましたが、説明します:

IPアドレス23.239.30.81はCBLにリストされていません。

以前にリストされていましたが、2015-12-07 18:46 GMT(1日、5時間、1分前)に削除されました。削除時、これはこのリストの説明でした。

このIPは、kelihosスパムボットに感染しています(または感染しているコンピューターのNAT)。つまり、ボットネットに参加しているということです。

感染が削除された(またはNAT保護された))ことを確認せずに単にリストを削除すると、おそらく再度リストされます。

これが私たちに起こったとき、それはクライアントが感染したラップトップを私たちのネットワークに持ってきたためでした。ゲストネットワークはメインネットワークから分離されていますが、メールサーバーを含む通常のトラフィックと同じIPを介してNATされています。

共有ホスティングを使用しているようです。 IPを共有している場合は、他のホストの1つが実際に感染している可能性があります。もしそうなら、それはホスティングサポートの場合かもしれません。しかし、良いニュースは、あなたがどちらのリストにも載っていないということです。

3

@ Katherine-vilyardは、サーバーがスパムを送信していると識別される理由について、(CBLから)非常に具体的な情報を提供しています。これは、kelihosスパムボットの感染によりスパムを送信していると識別されます。

送信ポート25をファイアウォールで保護しているため、postfixのみが使用できます。たとえば、Sudo iptables -L -vの出力を提供しない限り、それが正しいかどうかを確認することはできません。おそらくあなたはそこで間違いを犯したか、あるいはメールが実際に接尾辞を通過しているのかもしれません。たぶん、これを回避するのに十分なサーバーへのアクセス許可を持っているスパムボットがシステムにあります。例えば接尾辞として実行することによって。おそらく、ソースとして機能するのではなく、スパムを中継しているのでしょう。スパムの転送の問題を認識しているようですが、それに注意してください。

ポート25を介した接続の宛先ホストを制限する立場にあるように思われますか?可能であればそうしてください。

メールが通常の設定を使用してpostfixを通過している場合は、ログに記録されます。 (CBLから)確認する非常に具体的なタイムスタンプがあります。あなたはその電子メールを見つけることに着手するか、少なくともあなたのメールログからそれについてあなたができるすべての情報を得る必要があります。 HELO 127.0.0.1についてのビットは重要な手がかりになるはずです-あなたのpostfixサーバーは通常それをしますか?そうでない場合は、メールがPostfixサーバーを経由しなかった可能性があります。そうだと思います。

送信メールを記録するPostfixサーバーで十分だと思い込まないでください。 tcpdump -i any -w dumpfile port 25を使用してポート25のすべてのトラフィックをキャプチャし、それを通過するのはどうですか? CBLが識別するタイムスタンプを探すと便利です。予期しない宛先へのメール接続を探します。接続の時間をログに表示されるタイムスタンプと比較します。 (はい、ダンプファイルの処理方法の詳細を詳しく説明していることはわかっています。Wiresharkが役立つ可能性があり、ngrepも役立ちます)。

私が理解しているように、KelihosはWindowsPCに感染します。これは、サーバーがソースではなく、ある種のリレーフィルターとして機能していることを意味します。 VPNを介して実行していますか?自分の送信メールを中継するために使用していますか?他のホストがリレーとして使用できないのは確かですか?

1
mc0e

CBLを使用している場合、これはPostfixの問題ではない可能性があります。 CBLは、オープンリレーMTAではなく、「スパムプロキシ」であるサーバーをリストします。後者は、多くの場合、いくつかのセキュリティホールを悪用してアップロードされたWebスクリプトまたはその他のプログラムに由来します。

これはLAMPスタックなので、PHPバックドアスクリプトがないかどうかを確認することから始めます。PHP(PHP $ ===(PHP $ ===(または他のスクリプトエンジン(ある場合)にはスクリプトファイルが含まれています。通常、PHP Webアプリケーションの選択されたディレクトリのみが書き込み可能であり、rootユーザー以外は書き込み可能である必要があります。そのように構成されていることを確認してください。 Webサーバーレベルで、安全な拡張子を持つファイル(画像、ドキュメントなど、決してスクリプト)のみを提供するようにデータディレクトリを作成します。Webアプリケーションスクリプトファイルを更新(または、可能であればアップグレード)します。

25/TCPの場合のように、ポート465/TCPを保護することも問題ありません。

1
sam_pan_mariusz