1 dannil发表 最后由 dannil (2011-04-23 01:01:14) 编辑

  • 注册日期: 2010-08-09
  • 文章数: 35

主题: 邮件服务器被黑,请求解决方法

今天收到邮件服务器不存在的用户发来的邮件,邮件地址是不规则的,如:201104220323@example.com。他会发送邮件到服务器内的其他用户或是其他域(ade@yhoo.com.cn)。我第一感觉是被黑了,查看了日志fail2ban,有几十个不同的IP请求ssh失败。但是其他的日志到没有异常,用ps 和netstat都没有查看的异常的进程和网络连接。
请教排查的方法,不胜感激。

电邮服务器软件环境:

Ubuntu 10.04 LTD
iRedMail 0.6.1(LDAP方式)
Roundcubemail
MySQL
.....
  • 来自: 010
  • 注册日期: 2009-12-18
  • 文章数: 94

回复: 邮件服务器被黑,请求解决方法

这个不存在帐户其实是伪造的。以前用emos1.2时候见过。

个人感觉iredmail默认的
smtpd_recipient_restrictions=。。。。
reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname

应该能拦截掉这种邮件了。

不妨把这种不存在帐户发来的邮件的邮件头部信息贴上来。

yzhkpli 的 个人网站

3 dannil回复 最后由 dannil (2011-04-23 00:16:05) 编辑

  • 注册日期: 2010-08-09
  • 文章数: 35

回复: 邮件服务器被黑,请求解决方法

这是pw@example.com转发给我的邮件,源文件如下:

Return-Path: <pw@example.com>
Delivered-To: dannil@example.com
Received: from localhost (mail.example.com [127.0.0.1])
    by mail.example.com (iRedMail) with ESMTP id C52301900620
    for <dannil@example.com>; Fri, 22 Apr 2011 11:17:51 +0800 (CST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=example.com; h=
    user-agent:message-id:reply-to:organization:subject:subject:to
    :from:from:date:date:content-transfer-encoding:content-type
    :content-type:mime-version; s=dkim; t=1303442270; x=1304306270;
     bh=YG5w/mlztxnWf4+Ba4Wmu2feBcpPCVSMVb8S9RTxoGk=; b=Rl5dIcNwIPVI
    NvuH3OhKlRI5pq2l5VJsgcuOe8M6qbzfwQ50STYwHe7Pdj9e8wxk/CU90H05qGbg
    XNeZgVU29aVOOiC7cxrMJ0zSjjintCzFDBvr9TsCfPw7RrGr8nlKd6xT49m4Xoo1
    o6WLE+MSFUOhIN1Vb4x8TN8TLnvRWqI=
X-Virus-Scanned: Debian amavisd-new at mail.example.com
Received: from mail.example.com ([127.0.0.1])
    by localhost (mail.example.com [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id Q9QT-doKjcxw for <dannil@example.com>;
    Fri, 22 Apr 2011 11:17:50 +0800 (CST)
Received: from mail.example.com (mail.example.com [127.0.0.1])
    by mail.example.com (iRedMail) with ESMTP id 7283E19002A4
    for <dannil@example.com>; Fri, 22 Apr 2011 11:17:50 +0800 (CST)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8;
 format=flowed
Content-Transfer-Encoding: 8bit
Date: Fri, 22 Apr 2011 11:17:50 +0800
From: =?UTF-8?Q?=E7=8E=8B=E5=9B=BD=E7=BB=B4?= <pw@example.com>
To: =?UTF-8?Q?=E7=8E=8B=E7=AB=8B=E6=9D=B0?= <dannil@example.com>
Subject: Fwd: most#article#lives
Organization: =?UTF-8?Q?=E6=97=A0=E9=94=A1=E7=99=BE=E6=AD=A5=E7=A7=91?=
 =?UTF-8?Q?=E6=8A=80=E6=9C=89=E9=99=90=E5=85=AC=E5=8F=B8?=
Reply-To: <pw@example.com>
Mail-Reply-To: <pw@example.com>
Message-ID: <2d1b65a61cf904d03b6a811414d01422@example.com>
X-Sender: pw@example.com
User-Agent: =?UTF-8?Q?=E6=97=A0=E9=94=A1=E7=99=BE=E6=AD=A5=E7=A7=91?=
 =?UTF-8?Q?=E6=8A=80=E6=9C=89=E9=99=90=E5=85=AC=E5=8F=B8=E7=94=B5=E5=AD=90?=
 =?UTF-8?Q?=E9=82=AE=E4=BB=B6=E7=B3=BB=E7=BB=9F/0=2E5=2E1?=



 -------- Original Message --------
 Subject: most#article#lives
 Date: Thu, 21 Apr 2011 07:08:04 +0800 (CST)
 From: qualityglobe@mail.example.com
 To: pw@example.com

 When you feel depressed and lonely, it's better to have a cup of tea & 
 visit your closest friends.

 http://bit.ly/g6bOnZ

一般服务器被黑该如何排查呢?第一次被黑,不知道该从何下手,抓狂....
我用nmap扫描了一下。发现多开了下面的端口

PORT      STATE    SERVICE
53/tcp    filtered domain
222/tcp   filtered rsh-spx
4444/tcp  filtered krb524
4445/tcp  filtered unknown
8081/tcp  filtered blackice-icecap
8099/tcp  filtered unknown

4 yzhkpli回复 最后由 yzhkpli (2011-04-23 00:27:08) 编辑

  • 来自: 010
  • 注册日期: 2009-12-18
  • 文章数: 94

回复: 邮件服务器被黑,请求解决方法

from mail.example.com ([127.0.0.1])

不是伪造的。。。。。

你赶紧看一下/etc/passwd中是不是多了那些帐户。
修改root密码。设置key登陆。而不是passwd登陆。

最保险的就是修改一下/etc/hosts.allow。限制登陆ip。除非你们单位就有高手。

yzhkpli 的 个人网站

  • 注册日期: 2010-08-09
  • 文章数: 35

回复: 邮件服务器被黑,请求解决方法

我已经检查过了,/etc/passwd中没有发送垃圾邮件的账户呀。

  • 来自: 010
  • 注册日期: 2009-12-18
  • 文章数: 94

回复: 邮件服务器被黑,请求解决方法

我说错了。是用虚拟帐户直接发的。
你最好查查发邮件最多的帐户。比如这个pw@example.com。如果不是你添加的。干脆就删掉吧。

还有,为了防止服务器再被黑掉。最好将登陆机制和登陆ip都限制上。

yzhkpli 的 个人网站

  • 注册日期: 2009-12-18
  • 文章数: 2,864

回复: 邮件服务器被黑,请求解决方法

最常见的问题就是这个邮件帐号的密码被猜中了,或者你的ssh帐号密码被猜中。导致他可以正常登录邮件服务器发送邮件。

先将这个用来发送邮件的帐号改一下密码,复杂点的。
再用 history 命令检查一下各个系统帐号是否有从命令行发送邮件的历史纪录。

8 dannil回复 最后由 dannil (2011-04-23 15:11:56) 编辑

  • 注册日期: 2010-08-09
  • 文章数: 35

回复: 邮件服务器被黑,请求解决方法

这几个是什么服务,该怎么卸载。我并没有安装。

222/tcp   filtered rsh-spx
4444/tcp  filtered krb524
8081/tcp  filtered blackice-icecap

我担心是rootkit入侵。ps,top,netstat被替换。我对比了一下入侵的系统的ps(100K)和正常使系统的ps(74K),发现文件大了。

9 yzhkpli回复 最后由 yzhkpli (2011-04-23 13:48:03) 编辑

  • 来自: 010
  • 注册日期: 2009-12-18
  • 文章数: 94

回复: 邮件服务器被黑,请求解决方法

囧啊。以后改成密钥验证吧。你的密码是不是不够复杂被字典猜中了?


不知道简单的替换ps能不能解决问题。。。。求高人指点。

yzhkpli 的 个人网站

10 dannil回复 最后由 dannil (2011-04-23 15:15:25) 编辑

  • 注册日期: 2010-08-09
  • 文章数: 35

回复: 邮件服务器被黑,请求解决方法

我试了,简单的替换,赋予相应的权限后不能够执行。
真是窝火....

  • 来自: 010
  • 注册日期: 2009-12-18
  • 文章数: 94

回复: 邮件服务器被黑,请求解决方法

dannil 写道:

我试了,简单的替换,赋予相应的权限后不能够执行。
真是窝火....

替换的什么?
给什么(用户?文件?)赋予了什么权限?


不能执行什么??

yzhkpli 的 个人网站

  • 注册日期: 2010-08-09
  • 文章数: 35

回复: 邮件服务器被黑,请求解决方法

使用没有感染系统的/bin/ps替换的被入侵系统的/bin/ps,并赋予了正确的权限和拥有者。不能够执行,
关于是否感染了rootkit我使用rkhunter和chkrootkit工具检查过了。没有发现感染,不知道是否可以信任该检查报告。

我在iredapd.log看到如下的记录,是什么意思?

2011-04-24 00:05:48 INFO hi7188s.pp5975@msa.hinet.net -> poi@mail2000.com.tw, DUNNO
2011-04-24 05:54:37 INFO qqhptvkgnswjb@yahoo.com.tw -> mvtwtqqj57745@yahoo.com.tw, DUNNO