作者 主題: MAIL被奇怪的方式入侵  (閱讀 19094 次)

0 會員 與 1 訪客 正在閱讀本文。

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
MAIL被奇怪的方式入侵
« 於: 2010-07-08 20:15 »
前天發現Mail Queue突然暴增到幾萬封,一查之下發現有個奇怪的帳號一直在主機裏面發送垃圾信
該帳號使用的是公司內部的網域,但這個帳號本身並不存在 mpba@mail.abc.tw,不曉得他是用什麼方式變成我的USER??
IP已經查到都是用固定IP: 218.170.41.92 (查詢是中華的IP,可以去向他們投訴該IP嗎? 還是找網路警察備案?)
mail.abc.tw 是公司的MX,我們公司的員工都是用xxx@abc.tw在收發信的,所以突然跑出個mpba@mail.abc.tw就很明顯異常~
我不知道我這樣處理夠不夠完善,請問各位大大會怎麼做呢?

我有先將/etc/postfix/header_checks改成

代碼: [選擇]
/^From:.mpba\@mail\.abc\.tw/ DISCARD Attack Mail
/^Received:/ HOLD

然後在/etc/postfix/access裡面加入
代碼: [選擇]
218.170.41.92   REJECT
mpba@mail.abc.tw       REJECT

最後再下這指令把Mail Queue清掉... 但是很慢很慢... 殺不完的感覺
代碼: [選擇]
mailq | grep "mpba@mail.abc.tw" | cut -d " " -f1 | cut -d'*' -f1 | postsuper -d -
« 上次編輯: 2010-07-08 20:39 由 denise »

zterry26

  • 鑽研的研究生
  • *****
  • 文章數: 596
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #1 於: 2010-07-09 08:50 »
個人淺見:
會不會是您的smtp有開放對外可以relay,所以才會直接被外部ip使用smtp功能,
那些mail queue可能是使用像outlook方式一直在發信呢?
小弟是蔡鳥,不知道有沒有這個可能呢?

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: MAIL被奇怪的方式入侵
« 回覆 #2 於: 2010-07-09 10:14 »
那麼肉腳的攻擊者,連來源ip都沒清掉或是偽造,99%是不懂的小公司或是個人用固定ip被入侵當跳板
至於你自己的系統,先管好吧,也有很大的可能性,root已經換人做做看了

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #3 於: 2010-07-13 15:02 »
那麼肉腳的攻擊者,連來源ip都沒清掉或是偽造,99%是不懂的小公司或是個人用固定ip被入侵當跳板
至於你自己的系統,先管好吧,也有很大的可能性,root已經換人做做看了

救命啊~ 他又來了@@
一樣是用同一個MAIL帳號進來發信,在/etc/postfix/access寫REJECT也擋不掉它嗎? Orz
ROOT身分還在~ 這是我的LOG...

代碼: [選擇]
Jul 13 14:56:56 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_lonely@yahoo.com.tw>: Relay access denied; from=<mpba@mail.abc.tw> to=<stan_lonely@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>
Jul 13 14:56:57 mail postfix/smtpd[18133]: connect from unknown[61.184.26.212]
Jul 13 14:56:57 mail postfix/pickup[6054]: 31C3973E1B6: uid=103 from=<> orig_id=39DC173DD7A
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: hold: header Received: by mail.abc.com.tw (Postfix, from userid 103)??id 31C3973E1B6; Tue, 13 Jul 2010 09:57:52 +0800 (CST) from local; from=<> to=<mpba@abc.jmag.tw>
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: message-id=<20100713015752.39DC173DD7A@mail.abc.com.tw>
Jul 13 14:56:57 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_matsu@yahoo.com.tw>: Relay access denied; from=<mpba@abc.jmag.tw> to=<stan_matsu@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8832
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: MAIL被奇怪的方式入侵
« 回覆 #4 於: 2010-07-13 15:13 »
那就啟動iptables,給他擋到天荒地老吧!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

zterry26

  • 鑽研的研究生
  • *****
  • 文章數: 596
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #5 於: 2010-07-13 15:35 »
那麼肉腳的攻擊者,連來源ip都沒清掉或是偽造,99%是不懂的小公司或是個人用固定ip被入侵當跳板
至於你自己的系統,先管好吧,也有很大的可能性,root已經換人做做看了

救命啊~ 他又來了@@
一樣是用同一個MAIL帳號進來發信,在/etc/postfix/access寫REJECT也擋不掉它嗎? Orz
ROOT身分還在~ 這是我的LOG...

代碼: [選擇]
Jul 13 14:56:56 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_lonely@yahoo.com.tw>: Relay access denied; from=<mpba@mail.abc.tw> to=<stan_lonely@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>
Jul 13 14:56:57 mail postfix/smtpd[18133]: connect from unknown[61.184.26.212]
Jul 13 14:56:57 mail postfix/pickup[6054]: 31C3973E1B6: uid=103 from=<> orig_id=39DC173DD7A
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: hold: header Received: by mail.abc.com.tw (Postfix, from userid 103)??id 31C3973E1B6; Tue, 13 Jul 2010 09:57:52 +0800 (CST) from local; from=<> to=<mpba@abc.jmag.tw>
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: message-id=<20100713015752.39DC173DD7A@mail.abc.com.tw>
Jul 13 14:56:57 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_matsu@yahoo.com.tw>: Relay access denied; from=<mpba@abc.jmag.tw> to=<stan_matsu@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>


小弟淺見:
請問您有提到兩組ip,210.32.137.42  及61.184.26.212,直接擋掉不行嗎?

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #6 於: 2010-07-13 16:20 »
我已經設了210.32.137.42到iptables了,但他還是會變IP~~
請問這個情況是不是表示,對方是直接由我的本機發送,所以不用經過認證?
這樣的話,應該是有木馬囉?

那麼肉腳的攻擊者,連來源ip都沒清掉或是偽造,99%是不懂的小公司或是個人用固定ip被入侵當跳板
至於你自己的系統,先管好吧,也有很大的可能性,root已經換人做做看了

救命啊~ 他又來了@@
一樣是用同一個MAIL帳號進來發信,在/etc/postfix/access寫REJECT也擋不掉它嗎? Orz
ROOT身分還在~ 這是我的LOG...

代碼: [選擇]
Jul 13 14:56:56 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_lonely@yahoo.com.tw>: Relay access denied; from=<mpba@mail.abc.tw> to=<stan_lonely@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>
Jul 13 14:56:57 mail postfix/smtpd[18133]: connect from unknown[61.184.26.212]
Jul 13 14:56:57 mail postfix/pickup[6054]: 31C3973E1B6: uid=103 from=<> orig_id=39DC173DD7A
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: hold: header Received: by mail.abc.com.tw (Postfix, from userid 103)??id 31C3973E1B6; Tue, 13 Jul 2010 09:57:52 +0800 (CST) from local; from=<> to=<mpba@abc.jmag.tw>
Jul 13 14:56:57 mail postfix/cleanup[21853]: 31C3973E1B6: message-id=<20100713015752.39DC173DD7A@mail.abc.com.tw>
Jul 13 14:56:57 mail postfix/smtpd[16519]: NOQUEUE: reject: RCPT from unknown[210.32.137.42]: 554 5.7.1 <stan_matsu@yahoo.com.tw>: Relay access denied; from=<mpba@abc.jmag.tw> to=<stan_matsu@yahoo.com.tw> proto=ESMTP helo=<888tiger-048c6b>


小弟淺見:
請問您有提到兩組ip,210.32.137.42  及61.184.26.212,直接擋掉不行嗎?


zterry26

  • 鑽研的研究生
  • *****
  • 文章數: 596
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #7 於: 2010-07-13 17:04 »
小弟淺見:
您提到可能是內部的問題,小弟建議您,內部mua暫時不開放使用,直接請user使用webmail方式,
先排除是否為內部client在亂發信。
如果真的是內部的問題,建議內部有問題的pc重灌。
不知貴單位mua是用outlook還是什麼軟體給client使用,
通訊錄可先加入@,讓統一發信的狀況先停止。
個人淺見。

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #8 於: 2010-07-13 17:30 »
小弟淺見:
您提到可能是內部的問題,小弟建議您,內部mua暫時不開放使用,直接請user使用webmail方式,
先排除是否為內部client在亂發信。
如果真的是內部的問題,建議內部有問題的pc重灌。
不知貴單位mua是用outlook還是什麼軟體給client使用,
通訊錄可先加入@,讓統一發信的狀況先停止。
個人淺見。

請問有沒有什麼辦法,可以讓系統只要一看到"mpba@mail.abc.tw"這個MAIL,不管是收信還是寄出都一律刪除或是拋棄不處理?

zterry26

  • 鑽研的研究生
  • *****
  • 文章數: 596
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #9 於: 2010-07-13 17:38 »
個人淺見:
小弟的centos+snedmail+spamassassin
然後再加上procmail,procmail是用鳥哥的procmailrc,
不知道您的mail server有無啟用procmail功能呢?

Jerry Liu

  • 鑽研的研究生
  • *****
  • 文章數: 541
  • 性別: 男
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #10 於: 2010-07-13 17:43 »
你確定你還是root嗎? 先換個密碼看看吧

還有去 /tmp 裡面看看,有沒有多出奇怪的檔案吧

記得要檢查特殊權限喔
水泥森林中的狼

好懷念的暱稱啊 .................

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #11 於: 2010-07-13 18:54 »
你確定你還是root嗎? 先換個密碼看看吧

還有去 /tmp 裡面看看,有沒有多出奇怪的檔案吧

記得要檢查特殊權限喔


已經變更ROOT密碼
/tmp裡面這些東西應該可以直接刪除吧?

代碼: [選擇]
ls -l /tmp
total 748
drwxr-xr-x  2 root   root     4096 Jul 11 00:00 backup-config-manifests
srwxrwxrwx  1 root   root        0 Dec 12  2009 clamd.socket
-rw-------  1 apache apache      0 Jul 13 16:30 sess_2daba4c91186d6f51ab45a3bbd4b7af1
-rw-------  1 apache apache     99 Jul 13 15:11 sess_778f86effd2429bd6645f596d8f67fae
-rw-------  1 apache apache     99 Jul 13 15:10 sess_ab7cb35220f1b35b948a3335e37210a8
-rw-------  1 apache apache    210 Jul 12 19:55 sess_b083410804f07e0606dfa5c7b10e434a
-rw-------  1 apache apache      0 Jul 13 17:38 sess_ef4a0b5a3942599475bf09c5d3523b00
-rw-------  1 apache apache 740803 Jul 13 18:22 sess_f6a31833c610205fe0edcf608a24159a
-rw-------  1 apache apache     99 Jul 13 15:10 sess_f8c902346b37258da59d2d18e54f99f0

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #12 於: 2010-07-13 19:02 »
個人淺見:
小弟的centos+snedmail+spamassassin
然後再加上procmail,procmail是用鳥哥的procmailrc,
不知道您的mail server有無啟用procmail功能呢?


我只有Mailscanner + Spamassassion,沒有再裝 procmail
我比較納悶的是主機內並沒有mpba這個帳號,為什麼還能用我的MX來寄信?
docvot也有啟用...

zterry26

  • 鑽研的研究生
  • *****
  • 文章數: 596
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #13 於: 2010-07-13 21:54 »
個人淺見:
如果mail server有開啟mua,而一般clinet電腦有剛好中毒,
像這種亂發信的狀況是有可能的。
所以小弟才說,您要不要先停用client使用pop3,讓user直接到webmail上,試試看呢?
另外再請問一下,client的電腦數量多嗎?
如果不多的話,是否可以先對client電腦掃毒呢?

sueboy

  • 可愛的小學生
  • *
  • 文章數: 16
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #14 於: 2010-07-14 11:48 »
有些是退信功擊,看是不是這種情況

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #15 於: 2010-10-22 08:06 »
昨晚又看到幾萬封出現了=  =" 我好命苦...Orz

這次情況是浮動IP的攻擊,還會不斷變更發信MAIL~~

綠色文字是我自己主機的資訊,確定是沒錯的,寄件者全都是用 亂數+GMAIL信箱來發信,我不懂為何主機可以讓不認識的郵件進來發信,而且還是使用白名單權限,猜想應該是由 mail.abc.com.tw 直接寄出的關係,但是124-9-128-133.dynamic.tfn.net.tw [124.9.128.133]這個IP又是用何種方式登入我的主機呢?
為什麼主機沒有強制要求對方先驗證就允許寄信呢? >"<

LOG:
寄件者:   wyrdnifwe@gmail.com
Received: by mail.abc.com.tw (Postfix, from userid 103) id 40098A93727; Thu, 21 Oct 2010 22:08:45 +0800 (CST) Received: from 123.123.123.123 (124-9-128-133.dynamic.tfn.net.tw [124.9.128.133]) by mail.abc.com.tw (Postfix) with SMTP id 1D06EAAB461; Thu, 21 Oct 2010 22:08:43 +0800 (CST) Received: from hbxmngzw.yahoo.com.tw (hbxmngzw.yahoo.com.tw [227.232.24.215]) by with SMTP id ge2AF8Wq6810; Thu, 21 Oct 2010 10:49:33 -0300 Message-ID: Date: Thu, 21 Oct 2010 06:53:33 -0700 From: "Yahoo!奇摩拍賣" Reply-To: "Yahoo!奇摩拍賣" To: 收件MAIL1, 收件MAIL2 Subject: BVLGARI 新款*-彩鑽手鍊*免運費*三件8折- Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="--NextPart_5x8_wypr_gz2bpykyj88gq39e"

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5417
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: MAIL被奇怪的方式入侵
« 回覆 #16 於: 2010-10-22 10:24 »
為什麼會有你說的情形? 答案都在你自己機器上的 log 裡頭.
自己不會看 log 的話, 就去請一個會看的人吧.... 或... 不要自己弄, 直接把 email 給別人代管吧.


TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #17 於: 2010-10-22 10:34 »
不是反查到來源 dynamic 都直接退嗎?
怎麼是 dynamic 還進的去...
--
TyroneYeh

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #18 於: 2010-10-23 03:30 »
不是反查到來源 dynamic 都直接退嗎?
怎麼是 dynamic 還進的去...

我也不確定為廣告信什麼可以進來發送... 我是用Cyrus-sasl + courier-authlib這個在處理驗證的...@@~

/etc/postfix/main.cf
代碼: [選擇]
smtpd_client_restrictions = permit_sasl_authenticated,reject_rbl_client relay.ordb.org,permit_mynetworks, check_client_access hash:/etc/postfix/access, reject_unknown_client

smtpd_recipient_restrictions = permit_sasl_authenticated permit_auth_destination permit_mynetworks reject_invalid_hostname reject_non_fqdn_hostname reject_unknown_sender_domain reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining reject_unauth_destination permit reject_unknown_reverse_client_hostname


/etc/postfix/access 有加入這段:
代碼: [選擇]
#檔除動態IP網段來的廣告信件
dynamic.apol.com.tw     REJECT  We can't allow dynamic IP to relay!
dynamic.giga.net.tw     REJECT  We can't allow dynamic IP to relay!
dynamic.hinet.net       REJECT  We can't allow dynamic IP to relay!
dynamic.seed.net.tw     REJECT  We can't allow dynamic IP to relay!
dynamic.tfn.net.tw      REJECT  We can't allow dynamic IP to relay!
dynamic.ttn.net         REJECT  We can't allow dynamic IP to relay!
dynamic.lsc.net.tw      REJECT  We can't allow dynamic IP to relay!

« 上次編輯: 2010-10-23 03:37 由 denise »

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #19 於: 2010-10-23 03:33 »
為什麼會有你說的情形? 答案都在你自己機器上的 log 裡頭.
自己不會看 log 的話, 就去請一個會看的人吧.... 或... 不要自己弄, 直接把 email 給別人代管吧.




拜託大大~~請指點一下這段LOG的問題點出在哪 m(_ _)m
感激不盡@@~ 我真的很想把MAIL主機學好! (所以我就算安裝了驗證的機制,仍舊擋不了這些廣告信進來發信,這是我Relay沒關好的關係嗎?)

每次遇到啥問題去查G大神,然後傻傻的看人家說要裝啥就去裝啥,搞到後面我都不知道自己的主機到底是用哪個機制在管理收發信了>"<

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
回覆: MAIL被奇怪的方式入侵
« 回覆 #20 於: 2010-10-23 05:04 »
我把main.cf改成這樣後,終於停止了.... Orz


/etc/postfix/main.cf :(紅色為修正後的差異處...),另將smtpd_client_restrictions的幾個半形逗點給移除掉了,直接用空格代替~

smtpd_recipient_restrictions = permit_sasl_authenticated permit_auth_destination permit_mynetworks reject_invalid_hostname reject_non_fqdn_hostname reject_unknown_sender_domain reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining reject_unauth_destination permit permit_inet_interfaces  reject_unknown_reverse_client_hostname

smtpd_client_restrictions = permit_sasl_authenticated reject_rbl_client relay.ordb.org permit_mynetworks check_client_access hash:/etc/postfix/access reject_unknown_client permit_inet_interfaces reject_unknown_reverse_client_hostname

代碼: [選擇]
Oct 23 05:07:19 mail postfix/smtpd[11573]: NOQUEUE: reject: RCPT from 200.175.3.136.static.gvt.net.br[200.175.3.136]: 554 5.7.1 <lee.ruey@gmail.com>: Relay access denied; from=<monicatsu@cm1.hinet.net> to=<lee.ruey@gmail.com> proto=SMTP helo=<200.175.3.136.static.gvt.net.br>

Oct 23 05:07:19 mail postfix/smtpd[11618]: NOQUEUE: reject: RCPT from unknown[201.65.225.248]: 540 5.7.1 Client host rejected: cannot find your hostname, [201.65.225.248]; from=<rqmrevs@googlegroups.com> to=<lu8310kimo@yahoo.com.tw> proto=SMTP helo=<ATEMSERVIDOR>




twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5417
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: MAIL被奇怪的方式入侵
« 回覆 #21 於: 2010-10-23 10:53 »
拜託大大~~請指點一下這段LOG的問題點出在哪 m(_ _)m
感激不盡@@~ 我真的很想把MAIL主機學好! (所以我就算安裝了驗證的機制,仍舊擋不了這些廣告信進來發信,這是我Relay沒關好的關係嗎?)

你並沒有提供 log 吧...  你那封信只提供 mail header 而已.
至於後面的解決方法, 看不出來與你的問題有什麼關係... 如果是個人用就算了, 反正收不到信也沒什麼關係.