کلنجار ۲۱ ساعته با اسپم و راه حل
20 شهریور 1393 1393-06-20 20:47کلنجار ۲۱ ساعته با اسپم و راه حل
\
حملات زیادی ممکنه روی سرور شما صورت بگیره در رابطه با لینوکس مسئول حفاظت از شما postfix است که خیلی امکانات ضد اسپم نداره. یکی از رایج ترین حمله ها بدون هدف و با شیطنت هایی هستند که آسیبشون خیلی بیشتر از حتی درآمد اونهاست. بماند که پدیده اسپم یک پدیده زشت و مبتنی بر بی فرهنگی هست و الان بیشتر در برخی کشورهای کمتر توسعه یافته دیده میشه (با نگاه خرده فرهنگ). اما از اونجایی که اینترنت روی کل دنیا هست در نتیجه این مشکل دامنگیر همه عالم هست.
معمولا راه نفوذ از یک ایمیل شروع میشه که کلمه عبور خیلی ساده ای داره. برای من یکی از ایمیل ها به نام test روی یکی از دامنه ها دقیقا کلمه عبوری با همین نام داشت. در نتیجه بعد از نفوذ به سیستم در ثانیه بیش از ۱۰ پیام از طرف سرور من به بسیاری از سرور های معتبر ارسال میشد. جمعا حدود ۶۰ هزار نامه مسدود شده و بی هویت و ورود سرور به بیش از ۱۰ لیست سیاه در دنیا. کار رو به جاهای باریک کشوند. دیگه سرور ها شلوغ شده بود. و من از ساعت ۴ صبح امروز که از المان پیغام هشدار دریافت کردم حدود ۲۱ ساعت (یعنی تا ساعت ۱ که این پست رو گذاشتم). درگیر مساله بودم. و اما آنچه که رخ داد به نام SMTP-AUTH-Relay-Attack هست.
یک بنده خدایی هم مشابه من یک داستان داشت که براتون مینویسم
I had this problem last year with a non-profit client. One of their ‘volunteers’ had answered a nigerian spam – their password was their first name and the nigerian took over thier email account and started sending spam off of our mail servers, which got our entire cluster blacklisted for a day.
راه حلی که خدمتتون عرض میکنم الان حدود ۱۰۰ دلار توسط کارشناسان امنیت شبکه اجرا میشه و میتونین اگه حوصله ندارین از اونها خدمت بگیرید. اما به هر صورت
اول از همه ببینید آیا سرور شما سوراخ امنیتی Open relay رو داره یا نه. یعنی هر کسی میتونه از سرور شما برای فرستادن ایمیل استفاده کنه؟ سایت تست http://www.spamhelp.org/shopenrelay/ هست.
بعدش من یک کاری کردم. اپچی و سایر وب اپلیکیشن ها رو بستم و بعد دیدم که حمله ادامه داره. در نتیجه فهمیدم از کد ها نیست. البته قبلا یک phpmail.log ساخته بودم که از اونجا هم مطمئن بودم اما حالا برای خیال راحت تر.
مرحله بعد رفتم دیدم که این حمله ها از طریق چه کاربری صورت میگیره برای اینکار رفتم به mail.log و دیدم که مثلا qeue-id یکی از حمله ها چند هست
Aug 30 01:38:23 km33536 postfix/smtp[973]: 2F5A71542783: to=<auntgooga42@gmail.coom>, relay=none, delay=63358, delays=63358/0.02/0.02/0, dsn=4.4.4, status=SOFTBOUNCE (Host or domain name not found. Name service error for name=gmail.coom type=AAAA: Host not found)
Aug 30 01:38:23 km33536 postfix/smtp[977]: 6706F154277E: to=<demetriusjprdan82@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.67.27]:25, delay=63340, delays=63340/0.02/0.11/0.1, dsn=4.1.1, status=SOFTBOUNCE (host gmail-smtp-in.l.google.com[173.194.67.27] said: 550-5.1.1 The email account that you tried to reach does not exist. Please try 550-5.1.1 double-checking the recipient’s email address for typos or 550-5.1.1 unnecessary spaces. Learn more at 550 5.1.1 http://support.google.com/mail/bin/answer.py?answer=6596 r5si2345510wjw.137 – gsmtp (in reply to RCPT TO command))
بعد رفتم به /var/spool/postfix/deferred/2 (۲ رو از اول اسم صف گرفتم)
و کل ایمیل رو نگاه کردم و دیدم بعله اسم یوزری که رمزش لو رفته به صورت sasl_username =”vayvay” هست
در نتیجه رمز یوزر رو عوض کردم.
خیلی خوب نصف کار انجام شده. اما بقیه اش خیل وقت برد. و اون هم این هست که از این به بعد اگر اسپم اومد اصلا چک نکن رد کن بره. من حدود ۲ گیگ لاگ داشتم. لذا حتی اگر فرض کنم جلوی اسپم هم گرفتم باز هم باید یک جوری بار سرور رو کم میکردم. راه حل با وارد کردن خط زیر در فایل main.cfپستفیکس بود
smtpd_client_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client cbl.abuseat.org,
permit
اگه دقت کنید تو این خط از سه تا سایت کمک میگیره و سرورهایی که اسپم هستند رو بلاک میکنه.
والسلام
من برم بخوابم که مردم از خواب