OVH Community, your new community space.

Spam desde mi servidor


Ghaelito
17/07/2013, 22:59
Al menos me saco la migración gratis y sin mover un dedo xD

Gracias otra vez, de verdad.

jack2
17/07/2013, 22:16
confirmado, el servidor fue comprometido ... los indicios en el log del exim no fallaron

2013-07-16 23:39:29 [28894] SMTP connection from [127.0.0.1]:33116 I=[127.0.0.1]:25 (TCP/IP connection count = 1)
2013-07-16 23:39:30 [14184] SMTP connection identification H=localhost A=127.0.0.1 P=33116 U=root ID=0 S=root

Ghaelito
17/07/2013, 21:18
Bueno, al final recurrí a cPanel para que me hicieran ellos la migración y poder ahorrarme el trabajo y esta ha sido la respuesta:

(La dejo a modo informativo y para que hagáis las comprobaciones los que trabajáis con WHM + CP)

Buenas,

Parece que su servidor ha sido comprometido con una carga maliciosa diseñada para detectar y robar contraseñas. Todo lo que sabemos acerca de esta carga útil y su identificación se encuentra en la siguiente URL:

http://go.cpanel.net/checkyourserver

Básicamente hemos utilizado los mismos pasos que se encuentran en la página citada para confirmar que su servidor fue comprometido.

Como dice en la página, es posible que el compromiso está relacionado con un problema de seguridad que cPanel, Inc. ha experimentado recientemente.

El 21 de febrero descubrimos que uno de los servidores proxy que utilizamos en el departamento de soporte técnico se había comprometido. La investigación sigue en marcha por el equipo de seguridad de cPanel.

La manera exacta en la que el servidor fue accedido y comprometido todavía no está claro, pero hemos enviado comunicaciones a nuestros clientes que puedan haberse afectado con los detalles que sabemos hasta ahora, así como las explicaciones de nuestros cambios de seguridad que se realizará en el futuro. Esta información también será incluida en un anuncio pendiente.

En cuanto a su servidor, una recarga y restauración del sistema operativo (como es recomendado hacer con cualquier compromiso de nivel raíz) resolverá esta cuestión y le permitirá volver a trabajar como de costumbre.

Si desea que el personal de cPanel lleve a cabo la migración del servidor, por favor háganos saber para ponerlo en contacto con uno de nuestros especialistas de migración. Para poder hacer la migración para usted, le pedimos que se configure un segundo servidor con al menos una instalación base de CentOS/RHEL, en la que tiene recursos suficientes para alojar cuentas de este servidor y su uso. Desde allí, podemos asumir el control y llevar a cabo la instalación de cPanel, y también migrar todas las cuentas a su nuevo servidor.

Por favor avísenos si tiene alguna pregunta con respecto a esta situación.

Saludos,

Ghaelito
17/07/2013, 15:15
Okis, pos a ver como me arreglo... Gracias chicos, de verdad, muchísimas gracias.

jack2
17/07/2013, 15:09
O restauras cuenta por cuenta o restauras a otro servidor ... je,ej,ej

Ghaelito
17/07/2013, 13:03
Vale, entonces... Como carajo creo un full backup del WHM + CP?

Porque los que se hacer van en carpetas separadas y restaurar cuenta por cuenta es imposible... Y hacer una migración a otro server no es factible porque habría que modificar las DNS de los dominios con los problemas de "sincronización" que eso conlleva a mis clientes....

Nota: Yo esta opción no la tengo...
Nos vamos a “Respaldos” -> “Generar un Respaldo Completo” (En ingles: “Backup” -> “Generate/Download a Full Backup”).

Ghaelito
17/07/2013, 12:35
Me van a matar los clientes U.U

Básicamente una spider me a hackeado el server con acceso a root, me ha metido un proceso que spamea y que no vamos a saber nunca donde encontrar ¿no?

jack2
17/07/2013, 12:18
Si tienes comprometido el servidor dará igual que cambies el passwod, porque es posible que tengas algún proceso corriendo. Pero el spam se está enviando con el usuario root

Yo que tu empezaría de cero nuevamente con el server, en cuestión de 2 o 3 horas deberías tenerlo arriba de nuevo y restauras backups de cpanel

Ghaelito
17/07/2013, 08:19
Cita Publicado inicialmente por jack2
Me parece curioso:



Yo que tu cambiaría enseguida el password del usuario root, me parece que tienes el usuario root comprometido
De hecho lo estoy cambiando cada día porque fue lo primero que pensé, pero sigue igual...

Estos son los Warnings que me ha dado el RK:

[09:25:18] /sbin/ifdown [ Warning ]
[09:25:18] Warning: The command '/sbin/ifdown' has been replaced by a script: /sbin/ifdown: Bourne-Again shell script text executable
[09:25:18] /sbin/ifup [ Warning ]
[09:25:18] Warning: The command '/sbin/ifup' has been replaced by a script: /sbin/ifup: Bourne-Again shell script text executable
[09:25:25] /usr/bin/ldd [ Warning ]
[09:25:25] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
[09:25:27] /usr/bin/whatis [ Warning ]
[09:25:27] Warning: The command '/usr/bin/whatis' has been replaced by a script: /usr/bin/whatis: POSIX shell script text executable

[09:26:00] Checking loaded kernel modules [ Warning ]
[09:26:00] Warning: No output found from the lsmod command or the /proc/modules file:
[09:26:00] /proc/modules output:
[09:26:00] lsmod output:
[09:26:00] Info: Using modules pathname of '/lib/modules/2.6.32-16-pve'
[09:26:07] Checking for SSH configuration file [ Found ]
[09:26:07] Info: Found SSH configuration file: /etc/ssh/sshd_config
[09:26:07] Info: Rkhunter option ALLOW_SSH_ROOT_USER set to 'no'.
[09:26:07] Info: Rkhunter option ALLOW_SSH_PROT_V1 set to '0'.
[09:26:07] Checking if SSH root access is allowed [ Warning ]
[09:26:07] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
[09:26:07] Checking if SSH protocol v1 is allowed [ Not allowed ]
[09:26:07] Checking for running syslog daemon [ Found ]
[09:26:07] Info: Found rsyslog configuration file: /etc/rsyslog.conf
[09:26:07] Checking for syslog configuration file [ Found ]
[09:26:07] Info: SCAN_MODE_DEV set to 'THOROUGH'
[09:26:07] Checking /dev for suspicious file types [ Warning ]
[09:26:07] Warning: Suspicious file types found in /dev:
[09:26:07] /dev/.udev/queue.bin: data
[09:26:07] Checking for hidden files and directories [ Warning ]
[09:26:07] Warning: Hidden directory found: '/etc/.java'
[09:26:07] Warning: Hidden directory found: '/dev/.udev'
[09:26:07] Warning: Hidden file found: /usr/share/man/man5/.k5identity.5.gz: gzip compressed data, from Unix, max compression
[09:26:07] Warning: Hidden file found: /usr/share/man/man5/.k5login.5.gz: gzip compressed data, from Unix, max compression
[09:26:07] Warning: Hidden file found: /usr/share/man/man1/..1.gz: gzip compressed data, from Unix, max compression
[09:26:08] Warning: Hidden file found: /usr/bin/.fipscheck.hmac: ASCII text
[09:26:08] Warning: Hidden file found: /usr/bin/.ssh.hmac: ASCII text
[09:26:08] Warning: Hidden file found: /usr/sbin/.sshd.hmac: ASCII text
[09:26:15] Checking version of OpenSSL [ Warning ]
[09:26:15] Warning: Application 'openssl', version '1.0.0', is out of date, and possibly a security risk.

No me parece ver nada que pueda estar posibilitando el tema del spam... Omg... Que desastre xD

davidlig
17/07/2013, 04:11
Pues yo más que eso ya le pasaría un rkhunter o similar.

Salu2

jack2
16/07/2013, 23:37
Me parece curioso:

U=root ID=0 S=root
Yo que tu cambiaría enseguida el password del usuario root, me parece que tienes el usuario root comprometido

Ghaelito
16/07/2013, 22:45
Este es el resultado del find de uno de las IDs creadas en la cola:

/var/spool/exim/input/2/1UzCy2-0003hI-Oy-H
/var/spool/exim/input/2/1UzCy2-0003hI-Oy-D
/var/spool/exim/msglog/2/1UzCy2-0003hI-Oy
y esto es parte del log con el +all activado:

2013-07-16 23:39:29 [28894] SMTP connection from [127.0.0.1]:33116 I=[127.0.0.1]:25 (TCP/IP connection count = 1)
2013-07-16 23:39:30 [14184] SMTP connection identification H=localhost A=127.0.0.1 P=33116 U=root ID=0 S=root B=identify_local_connection
2013-07-16 23:39:30 [14184] 1UzCy2-0003gm-7d <= zjznufozkrlkdq@yahoo.co.jp H=localhost (94-23-85-25.kimsufi.com) [127.0.0.1]:33116 I=[127.0.0.1]:25 P=smtp S=1211 T="=?ISO-2022-JP?B?GyRCIVpIfk5oIVskNSRzJCskaRsoQjEbJEI3byROJCpNN iQkJCxGTyQkJEYkJCReJDkhIyFYPVBNaCRrJEAk" from for a@hotmall.com
2013-07-16 23:39:30 [14213] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1UzCy2-0003gm-7d
2013-07-16 23:39:30 [14213] 1UzCy2-0003gm-7d SMTP connection identification H=localhost A=127.0.0.1 P=33116 M=1UzCy2-0003gm-7d U=root ID=0 S=root B=authenticated_local_user
2013-07-16 23:39:30 [14213] 1UzCy2-0003gm-7d ** a@hotmall.com F= R=fail_remote_domains: The mail server could not deliver mail to a@hotmall.com. The account or domain may not exist, they may be blacklisted, or missing the proper dns entries.
2013-07-16 23:39:30 [14216] cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1UzCy2-0003gm-7d
2013-07-16 23:39:30 [14184] SMTP connection from localhost (94-23-85-25.kimsufi.com) [127.0.0.1]:33116 I=[127.0.0.1]:25 closed by QUIT
2013-07-16 23:39:31 [14216] 1UzCy2-0003hI-Oy <= <> R=1UzCy2-0003gm-7d U=mailnull P=local S=2166 T="Mail delivery failed: returning message to sender" from <> for zjznufozkrlkdq@yahoo.co.jp
2013-07-16 23:39:31 [14221] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1UzCy2-0003hI-Oy
2013-07-16 23:39:31 [14213] 1UzCy2-0003gm-7d Completed QT=1s
2013-07-16 23:39:31 [14221] 1UzCy2-0003hI-Oy ** zjznufozkrlkdq@yahoo.co.jp F=<> P=<> R=dkim_lookuphost T=dkim_remote_smtp: SMTP error from remote mail server after initial connection: host mx3.mail.yahoo.co.jp [183.79.57.237]: 553 Mail from 94.23.85.25 not allowed - [10]
2013-07-16 23:39:31 [14221] 1UzCy2-0003hI-Oy Frozen (delivery error message)

Ghaelito
16/07/2013, 18:41
He borrado la cola y ahora no aparece, de hecho, borre la cola hace un buen rato y ahora mismo parece que ha parado... El caso es que creo que no e hecho nada, a parado solo... En fin, en cuanto vuelvan aa la carga y vuelva a aparecer cola ya busco uno de los names generados y pego el resultado.

Gracias por vuestra ayuda ^^

jack2
16/07/2013, 17:23
Busca en la cola de exim el

find /var/spool/exim -name "1UxoZy-0005Xk-An*"

y pegas el contenido de ese archivo aquí

Y por el momento bloquea la IP 183.79.57.238 en el firewall

Ghaelito
16/07/2013, 17:05
Creo que va a ser lo más útil y quedarme solo con SMTP externo y emails PHP...

oceano
16/07/2013, 16:53
Hola Ghaelito,

Si quieres inhabilitar algún servicio para que deje de funcionar, por ejemplo si en ese server no utilizas el correo, como creo has dado a entender

Compruebas en que runlevel corren los servicios de tu máquina
# runlevel

Compruebas que servicios tienes activos
# chkconfig –-list

Deshabilitas el servicio para que en el próximo reinicio siga en off
# chkconfig SERVICIO off



Un saludo !

oceano
16/07/2013, 16:48
Hola,

Cita Publicado inicialmente por jack2
Te sugiero habilitar...
+1 , buen aporte, gracias !!


Un saludo

Ghaelito
16/07/2013, 16:45
Esos los tengo, me faltaba el log extendido y activé en su momento el SMTP Restrictions pero he tenido que desactivarlo para poder usar Gmail, aparte que tampoco parecía que hiciera mucho efecto tenerlo activado...

Ya lo he puesto, a ver que pasa...

En el exim log tengo esto:

2013-07-14 03:44:02 1UxoZy-0005Xk-An ** bqgnaafb@yahoo.co.jp R=dkim_lookuphost T=dkim_remote_smtp: SMTP error from remote mail server after initial connection: host mx2.mail.yahoo.co.jp [183.79.57.238]: 553 Mail from 94.23.85.25 not allowed - [10]
2013-07-14 03:44:02 1UxoZy-0005Xk-An bqgnaafb@yahoo.co.jp: error ignored
2013-07-14 03:44:02 pid 31699: SIGHUP received: re-exec daemon
2013-07-14 03:44:02 cwd=/var/spool/exim 3 args: /usr/sbin/exim -bd -q1h
2013-07-14 03:44:02 exim 4.80.1 daemon started: pid=31699, -q1h, listening for SMTP on port 25 (IPv6 and IPv4) port 587 (IPv6 and IPv4) and for SMTPS on port 465 (IPv6 and IPv4)
2013-07-14 03:44:02 cwd=/var/spool/exim 2 args: /usr/sbin/exim -q
2013-07-14 03:44:02 Start queue run: pid=9608

jack2
16/07/2013, 16:24
Te sugiero habilat el log extendido de exim, así podrás tener mayor información, si usas cpanel ve a "Exim Configuration Editor" y en la pestaña de "Advanced Mode" buscas la opción "log_selector" y allí colocas: +all

Bloquea el que nobody envíe emails, para ello desde cpanel vas a la opción "Tweak Settings" y colocas en On la opción "Prevent “nobody” from sending mail"

Ghaelito
16/07/2013, 16:07
Cita Publicado inicialmente por jack2
Tienes la función mail() activada en php?, intenta deshabilitandola

Usas cpanel?
Pero no me serviría de nada porque ya hemos descartado que se estén enviando con un script php...

Más bien me vendría mejor deshabilitar el SMTP

jack2
16/07/2013, 16:00
Tienes la función mail() activada en php?, intenta deshabilitandola

Usas cpanel?

Ghaelito
16/07/2013, 14:22
Esto es lo que he encontrado en los maillogs:

Jul 16 14:51:09 ns dovecot: imap-login: Login: user=<__cpanel__service__auth__imap__ifvv9ky1ffaer 0stwrfcohi5ucwxojdpbmv9qkgbryoeov...>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Jul 16 14:51:09 ns dovecot: IMAP(__cpanel__service__auth__imap__ifvv9ky1ffaer0 stwrfcohi5ucwxojdpbmv9qkgbryoeov1jvwpopoyga9yv8npb ): Disconnected: Logged out bytes=11/340

Ghaelito
16/07/2013, 13:16
Claro Jack, pero como puedo detectar donde se está generando el SPAM?

No es de ninguna cuenta, el spam sale directamente desde el servidor de correo bypasseando todo, creo que mas bien es algún script, pero el caso es que no tengo ni idea de donde está....

Edit: He utilizado un script para detectar todos los envíos de email mediante PHP y efectivamente funciona, ha saltado con algunos emails, pero no se corresponden con estos que me están "fastidiando", por lo tanto descartamos que sean envíos mediante PHP....

jack2
16/07/2013, 12:13
y en los logs no encuentras por cual cuenta están enviando el spam. porque bloquear la ip por la cadena no es que sea muy optimo.

oceano
16/07/2013, 11:19
Hola, buenas tardes !

Creo que algo así te valdría,

dentro de # /etc/csf/csfpost.sh

iptables -A OUTPUT -p tcp --dport PUERTO_QUE_UTILICE -m string --to 30 --algo bm --string 'GET /yahoo.co.jp' -j DROP

iptables -A OUTPUT -p tcp --dport PUERTO_QUE_UTILICE_2 -m string --to 30 --algo bm --string 'GET /yahoo.co.jp' -j DROP

guardas y reinicias con csf -r , csf -sf


Un saludo !

Ghaelito
16/07/2013, 10:24
De nuevo vuelta la burra al trigo... Paró por un rato, pero seguimos igual...

Oceano, habría alguna forma en IPtables para en vez de limitar los correos a Gmail, prohibir los correos que salen a una dirección yahoo.co.jp?

Gracias!

Ghaelito
15/07/2013, 22:30
Si Oceano, aunque ya conseguí poner otra movida, un modulo del kernel con una aplicación de cPanel que hace que solo se puedan enviar emails con direcciones reales creadas a través del cPanel está en security settings -> Email restricted (o algo así)

Por lo demás el server está bien, no está sobrecargado ni nada, el problema que llevo es que estoy en todas las blacklist del mundo... Poco a poco he conseguido quedarme solo en 11 pero claro, gmail y hotmail no quieren ni ver mi IP xD

El tema era que simplemente estaban bypasseando el servidor SMTP y por lo visto es bastante común en los servidores con cPanel.

Respecto al tema de de reinstalar... supongo que le daré un mes de margen para ver si puedo salir de las puñeteras listas negras y si no, no me quedará otra opción.

oceano
15/07/2013, 13:07
Hola Ghaelito,

Te valió lo que te pasé ? Quizá lo que debas hacer ahora es lo que comentó RME porque vas a tener el micro, reglas de kernel saturándo por iptables, o eso creo...

Busca lo que te valga, analiza que no tiene nada extraño, pásalo a otro lugar y reinstala, sería lo mejor y con el tiempo, creo ahorrarías tiempo y mayores problemas, eso si, algo ha fallado para tener ese problema, deberías revisar cuidadosamente como has llegado hasta ahí.

Si tienes instalado Htop podrás comprobar el rendimiento del micro


Un saludo !

Ghaelito
15/07/2013, 12:20
Por fin lo he logrado paralizar, ahora la pregunta del millón... alguien conoce algún servicio que se dedique a sacarte de las listas negras? No importa que sea de pago o no

Ghaelito
15/07/2013, 09:34
Ok, muchas gracias, a ver si al menos con esto puedo parar el tema y borrarme de las listas negras mientras los de cpanel me dan alguna solución para bloquear las direcciones no existentes....

Por algún extraño motivo no puedo activar la opción de SMTP restrictions

oceano
15/07/2013, 06:27
Hola Ghaelito, buenos días

Con estas dos reglas para iptables das salida sólo para que enlace a servidores de Google.

Si lo metes dentro del archivo /etc/csf/csfpost.sh y reinicias, csf -r ; csf -sf, debería bloquearte lo demás.

iptables -A LOCALOUTPUT -d 173.194.0.0/16 ! -o lo -j ACCEPT
iptables -A LOCALOUTPUT -d 74.125.0.0/16 ! -o lo -j ACCEPT


Un saludo !

Ghaelito
14/07/2013, 23:00
Yap eso y cambiar la IP, pero ahora mismo no puedo permitirme hacer eso

RME
14/07/2013, 22:20
Si no es problema reinstala todo el servidor.
A veces es más fácil que solucionar el problema.

Ghaelito
14/07/2013, 19:09
Muy buenas, a ver, se está enviando SPAM desde mi servidor, eñ caso es que no tengo ni idea de como ni donde, es decir, ni como lo están enviando, si es que me han hackeado o que, ni si es desde una cuenta de usuario o lo que sea....

A ver si alguien me puede echar un cablecillo para solventar esto porque ya estoy en la mayoria de listas de spamers...


Esto es lo que he sacado del cpanel:

Date:
Sun, 14 Jul 2013 19:52:08 +0200
From:
Mail Delivery System
To:
rbllnsaadahobd@yahoo.co.jp
Subject:
Mail delivery failed: returning message to sender

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

kato868.1@ilynxcontent.com
The mail server could not deliver mail to kato868.1@ilynxcontent.com. The account or domain may not exist, they may be blacklisted, or missing the proper dns entries.

------ This is a copy of the message, including all the headers. ------

Return-path:
Received: from localhost ([127.0.0.1]:33467 helo=xx-xx-xx-xx.kimsufi.com)
by ns.webgaraje.es with smtp (Exim 4.80.1)
(envelope-from )
id 1UyQSt-0002oN-HK
for kato868.1@ilynxcontent.com; Sun, 14 Jul 2013 19:52:07 +0200
Received: from 81.240.151.131 by 94.23.85.25; Tue, 16 Jul 2013 14:35:01 -0300
From: "=?ISO-2022-JP?B?GyRCIiE2WENHJE49UDJxJCQhKj9NOkpAbExnN0c8KEhEI iEhIRsoQg==?=okantcto@secretbbs.com"
To: kato868.1@ilynxcontent.com
Subject: =?ISO-2022-JP?B?GyRCPGc/TSRiSWI1JCRQJCskaiQ3JEYkJCRrJE4kRyFEISEycTB3GyhCSU Q6?=ssuxxunl
Date:Tue, 16 Jul 2013 21:39:01 +0400
X-Mailer: Microsoft Outlook, Build 10.0.2616
MIME-Version: 1.0
Content-Type: text/plain; charset="SHIFT_JIS"
Content-Transfer-Encoding: 7bit

�������C�������đ����v�ł����ˁH
�������Ă������l�ɂ͉��x�����؂����Ă��܂����B
�����ł����l�̎��͈����Ă��܂��������c�����Ƌ����Ă��܂��� �B
�����ł��A�����̖����l�̌g�т����Ă��܂��c���ł������ƕ��C �����Ƒ����Ă��鎖���m���܂����B
�����Ȏ��N�ɂ������Ȃ��ł����c���������߂ă��[�����Ă��܂��܂����B
���l�ƕ��C�����Ȃ񂩂����A�����ƌ�����H���������ł� �B
�������̃A�h���X�Ȃ����l�ɂ��������Ȃ��ł����������悯��� ΂������ɒ��ژA�����ė~�����ł��B
mizukiti.-yuu040...
���S�ĕ\�����遥
http://upyy9dzz25.asia/d38vhszxt