OVH Community, your new community space.

Spammer en servidor


Samael
18/01/2014, 18:31
Hola, siempre pueden robarte claves de correos, siempre eso será posible.

Las reglas:
anvil_rate_time_unit=60s ## Estas dos líneas vienen a indicar que
smtpd_client_message_rate_limit=2 ## cada usuario sólo puede enviar 2 mensajes por minuto. Esta regla la he puesto hoy.
Son las más importantes a mi entender para protegerte de los robos y envío de spam, esto te protegerá de que se envíen miles de correos desde tu servidor.

Busca en google hay script que leen tu cola de correos y cuando tu cola tenga un determinado número de correos enviándose el cron te avisara, de esa forma puedes prevenir bloqueos del puerto por parte de OVH, CSF también puede hacerlo.

El robo de claves solo lo puedes evitar con un buen antivirus en el PC que usas o usan tus clientes para conectar.

tfwfactory
17/01/2014, 19:09
Tal vez me equivoque pero por lo que dices usas el outlook y lo usas con el computador , por tanto si es correo de servidor pero que usas con las claves en tu computador , lo más probable es que tu problema venga pq tu computador está infectado , si está infectado siempre va a pasar lo mismo , hay troyanos que lo que hacen es leer todas las contraseñas guardadas , por ello te recomiendo que centralices el esfuerzo en tu computador personal

Primero de todo corre malwarebytes

Despues si hay algún tipo de problema eliimna todo lo malo

Corre tu antivirus

Elimina todos los elementos temporales de tu computador , puedes usar ccleaner

Despues pasa otra vez el antivirus y el sistema de antimalware

Mira que las actualizaciones de tu versión de windows estén bien y usa un anti virus con firewall o activa el de windows , yo personalmente te sugiero el AVG es una maravilla , elimina cualquier caché de navegador , cuando esto lo hagas cambia las contraseñas , no antes , puesto que no servirá de nada , securiza tu banco de trabajo es decir tu ordenador sino te afectará a ftp y a todo , hay troyanos que acceden a los programas de ftp desde tu computador y mucha gente piensa que se les coló algo en el servidor , un porcentaje altísimo de casos viene por una infección en un ordenador de trabajo , incluso problema de inyección no son por culpa de una aplicación web

Importante el tema de register_globals , si no tienes esto delimitado , podrían enviarte mediante otro tipo de acciones que no son $_POST informaciones a formularios , etc , son pequeños exploits que aprovechan muchos , depende tu versión de Joomla aunque en general Joomla ya lo he dejado de usar , supongo que tendrás una versión 2.5 o a partir de la 3

Por lo demás debes mirar los logs del server , los de apache o httpd , ahi te viene información de errores y accesos , examina eso y en cuanto al firewall , no se cual lleva plesk por defecto , no trabajo hace mucho con Plesk por ser absolutamente pésimo , pero si usa csf pues agrega una regla con csf , simplemente csf -d y la ip a banear , tambien si es un país puedes ir a la configruación de csf y ahi le cascas el pais a expulsar al final siempre haz desde la consola de ssh csf -r para que se tome en cuenta cada cambio


Un saludo y espero que vaya bien , lo he escrito rápido que no podía ahora , espero que lo entiendas todo , saludos

Fossy
17/01/2014, 11:50
Hola tpwfactory. En primer lugar agradecerte enormemente tu interés y ayuda. Seguiré todos los pasos que me comentas, de hecho voy a quotear tu post para informarte de algunas cosas...

Primero de todo securiza el servidor con CSF , securiza SSH con FailtoBan , cambia el puerto por defecto , cambia el usuario root por otro , revisa los logs del sistema y mira si puedes ver en los logs del postfix más información sobre la ip del spammer ,
He instalado CSF, pero no quiero dar este paso sin decirte antes que tengo activado el firewall de Plesk (11.5.30). Dime si desinstalo el de plesk y activo el CSF.

Fail2Ban lo tengo en ejecución protegiendo Postix, ProFTPD, ssh, sals, named y badbots de apache.

He cambiado el puerto y las contraseñas.

En los logs encuentro una gran diversidad de IP's..., el spammer usa varios servidores, lo hace bien vaya..., de todos modos tengo hospedado un dominio de un familiar que es una inmobiliaria internacional y tampoco puedo vetar un país.

usa postgrey para eliminar el envio de spam , mira el número de correos en cola que tienes tambien
Postgrey activado, la cola la vacié después de ver unas muestras. Esto fue lo primero que hice.

De igual modo en tu php.ini agrega esta linea mira si está vacia y pon esto : disable_functions = dl,system,exec,passthru,shell_exec
Agregado..., lo tenía vacío en todos.

También dinos que tipo de webs tiene si usas register global o no en tus sitios webs , si usas un cms o que exactamente y si el spam vien de dentro o de fuera a través de las webs ese punto es sumamente importante para poner un sistema potente de captcha y un sistema antiflood
Uso principalmente Joomla, aunque también tengo dos CMS diferentes (phpmelody y clipbucket). Captcha tienen todos.

Cambia los accesos a tus cuentas de correo y sobre todo danos más información , si el spam viene pq tienes un mal sistema web no es lo mismo que si se te han colado en el servidor
Está todo cambiado, y el spam ha entrado en teoría por Postfix y en modo local, usando un dominio real cambiando el usuario por letras aleatorias, pero suplantando un usuario real y pasando SASL, por lo que creo que se ha estado autentificando con una contraseña probablemente robada de outlook por un troyano o algo.

Muy importante tpwfactory..., he tenido que desactivar todas las reglas que puse en Postfix porque me están dando problemas los clientes de correo y móviles. He formado una esta mañana que no te imaginas, con gente intentando enviar correos urgentes y el sistema no les dejaba, por lo que he vuelto a cargar el fichero de configuración por defecto de Postfix.

Por favor, ¿qué me recomiendas que ponga en Postfix para no tener problemas sobre todo con Outlook?.

Muchísimas gracias!!

tfwfactory
17/01/2014, 02:39
Primero de todo securiza el servidor con CSF , securiza SSH con FailtoBan , cambia el puerto por defecto , cambia el usuario root por otro , revisa los logs del sistema y mira si puedes ver en los logs del postfix más información sobre la ip del spammer , despues si es de un país como Rusia , etc elimina esos paises de acceso a tu server , cambia la clave de FTP como te dijeron en todas las cuentas , usa postgrey para eliminar el envio de spam , mira el número de correos en cola que tienes tambien

De igual modo en tu php.ini agrega esta linea mira si está vacia y pon esto : disable_functions = dl,system,exec,passthru,shell_exec

También dinos que tipo de webs tiene si usas register global o no en tus sitios webs , si usas un cms o que exactamente y si el spam vien de dentro o de fuera a través de las webs ese punto es sumamente importante para poner un sistema potente de captcha y un sistema antiflood

Cambia los accesos a tus cuentas de correo y sobre todo danos más información , si el spam viene pq tienes un mal sistema web no es lo mismo que si se te han colado en el servidor

Saludos

chencho
16/01/2014, 23:33
Por lo pronto, suspende la cuenta; luego cambia las contraseñas de sus correos y ftp, además del panel si lo usa.

Fossy
16/01/2014, 19:39
Por cierto, ya que veo que entiendes, o para quien me quiera dar su opinión, estas son las reglas que tengo aplicadas a Postfix:

anvil_rate_time_unit=60s ## Estas dos líneas vienen a indicar que
smtpd_client_message_rate_limit=2 ## cada usuario sólo puede enviar 2 mensajes por minuto. Esta regla la he puesto hoy.


smtpd_delay_reject = yes
smtpd_helo_required = yes
disable_vrfy_command = yes

smtpd_helo_restrictions =
permit_sasl_authenticated,
#permit_mynetworks, ##Deshabilitada porque ningún cliente puede enviar mensajes..., se queda en espera infinita.
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname
#reject_unknown_helo_hostname ##Deshabilitada debido a que outlook es incompatible y da muchos problemas.


smtpd_sender_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
pcre:/etc/postfix/sender_access,
permit

smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
permit

smtpd_recipient_restrictions =
permit_mynetworks,
check_client_access pcre:/var/spool/postfix/plesk/no_relay.re,
permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/bloqueospam, ##El fichero contiene una lista con mis dominios hospedados
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_destination

Fossy
16/01/2014, 19:33
Gracias manoleet.

¿Es posible que un troyano ubicado en un PC haya robado contraseñas de outlook?, porque la cuenta que estaba suplantando y con la que se estaba identificando, precisamente no sale del outlook de ese PC, ni está en ipads, ni móviles ni nada, por lo que resulta extraño que alguien se haya hecho con esa contraseña.

Gracias.

manoleet
16/01/2014, 17:35
Si, tiene la contraseña de un usuario con autentificación SMTP .

El bloqueo del puerto 25 es solo saliente, por eso no afecta a las conexiones entrantes del spammer.

Fossy
16/01/2014, 16:07
Hola amigos:

Es la primera vez que me encuentro con un Spammer que ha vulnerado todo tipo de reglas de Postfix, y lo hace usando uno de mis dominios pero cambiándole el usuario por algo aleatorio de letras.

No está entrando por web, sino que parece ser que lo está haciendo a sus anchas, ya que al mirar las cabeceras de los mensajes, me indica que se ha identificado (SASL) correctamente con una cuenta real de ese dominio, y mi pregunta es, ¿tiene la contraseña o que?...

OVH me ha capado el puerto 25, pero aún así sigue entrando spam. No sé si está usando el webmail o Imap, pero el envío lo hace en local, ya que el puerto bloqueado no le está afectando.

Insisto en que a través de script no está entrando porque en todas las cabeceras pasa el control SASL (autentificación con usuario y contraseña).

Si alguien me puede dar norte de lo que está pasando, se lo agradeceré.

Un saludo.