ispCP - Board - Support
Se apoderaron de mi servidor! Ayuda por favor - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: Spanish Corner (/forum-29.html)
+--- Thread: Se apoderaron de mi servidor! Ayuda por favor (/thread-12370.html)

Pages: 1 2 3


Se apoderaron de mi servidor! Ayuda por favor - sercba - 12-08-2010 04:10 AM

Hola amigos!

Repentinamente me empezaron a llegar avisos de SPAM provenientes de mi IP (como si se enviaran de la empresa NOKIA). Al ponerme a revisar los signos vitales del sistema pude ver que algo andaba muy mal, miles de procesos, memoria saturada e increible queue de postfix.

Como puede verse, he sido atacado por algo! El tema es que no sé qué camino seguir para tratar de quitarme este bicho (si es que lo es) de encima y volver a la normalidad, en realidad no tengo idea.

Alguien podría guiarme por favor? Cualquier sugerencia será bienvenida.

Muchas gracias!


RE: Se apoderaron de mi servidor! Ayuda por favor - kurgans - 12-08-2010 04:23 AM

Tan solo tienes que mirar la cola obtienes el ID de un mensaje, te vas a mail.log, buscas el ID y observaras que cuenta es la culpable ya que tendra el login, te vas al panel le cambias el password, y le comunicas al usuario que tiene un troyano.


RE: Se apoderaron de mi servidor! Ayuda por favor - sercba - 12-08-2010 04:31 AM

Hola kurgans!!

Parece tan simple lo que me dices, jaja. El problema que tengo es que no conozco el funcionamiento interno de postfix, podrías indicarme por favor técnicamente cómo seguir esos pasos, o por lo menos el primero, cómo mirar la cola y obtener el ID y luego vemos el resto.

Un gran abrazo y gracias por contestar!


RE: Se apoderaron de mi servidor! Ayuda por favor - kurgans - 12-08-2010 05:00 AM

postqueue -p

-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
9679C160B17 615 Tue Dec 7 16:24:30 -----

en el mail.info busca

9679C160B17: client=unknown[77.211.155.238], sasl_method=LOGIN, sasl_username=jose.....
9679C160B17: message-id=<956A7D47432C479195FC899B5F2B1428@PepeOsuna1

Y ya sabes que cuenta lo esta enviando. Logicamente en el queue debes ver el mensaje de spam


RE: Se apoderaron de mi servidor! Ayuda por favor - sercba - 12-08-2010 05:16 AM

Hola kurgans nuevamente gracias por responder!

Bueno, la cola que tiene es increíble, se ve que me están usando de lo lindo!

Con respecto a buscar el QUEUE ID en el mail.info, no aparece el login, los logs que tengo son como los siguientes:

Dec 7 07:40:32 h1 postfix/qmgr[1829]: A13F966026A: from=<info@foreman.com>, size=2098, nrcpt=99 (queue active)

y luego muchos de estos:

Dec 7 07:40:32 h1 postfix/qmgr[1829]: A13F966026A: to=<shooogal@aol.com>, relay=none, delay=161858, delays=161858/0.03/0/0, dsn=4.7.1, status=deferred (delive
ry temporarily suspended: host mailin-04.mx.aol.com[205.188.103.2] refused to talk to me: 421 4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.h
tml)

Estoy complicado!

Hay alguna forma de decirle a postfix que no deje enviar correos a menos que el usuario esté autenticado? Por ejemplo desde php la función mail (en mi servidor que tiene la config por defecto de ispcp) te deja enviar correos con cualquier remitente. A lo mejor un usuario subió alguna app infectada con un troyando y está haciendo uso de esta función.

Saludos!


RE: Se apoderaron de mi servidor! Ayuda por favor - kurgans - 12-08-2010 05:29 AM

Es que te estan enviando correo por un usuario autentificada casi al 100%, con un troyano estan usando la cuenta del tio para enviar a saco, el id del mensaje tiene que tener su login forzosamente,

Busca bien si uno usa otro mensaje, pero cada id debe tener su login,
Tambien puedes limpiar la cola con
postsuper -d ALL

luego ejecuta de nuevo a los 2 minutos
postqueue -p

Que veas la cola que esta generando

Parar postfix cuando veas unos poco correos de spam y empieza a buscar desde la limpieza de la cola hacia adelante te sera mas sencillo localizarlo


RE: Se apoderaron de mi servidor! Ayuda por favor - sercba - 12-08-2010 05:56 AM

Bueno, ahora luego de limpiar la cola ya ha pasado un buen tiempo y no hay nada en la cola todavía. Debo esperar?

Mientras tanto me voy a poner a revisar los logs anteriores para ver si encuentro la cuenta. Por ahora todos los logs que he visto del spammer no encuentro la cuenta que la envía, para el resto de los usuarios normales que envían ellos mismos, sí aparece.

Cualquier novedad que tengo serás el primero enterarte! Muchas gracias realmente por estar ahi.

Un gran abrazo.


RE: Se apoderaron de mi servidor! Ayuda por favor - sercba - 12-08-2010 09:09 AM

Novedades:

No he encontrado en ningún mensaje, ni nuevos ni viejos de los de spam, que aparezca la línea de LOGIN para esos.

El "ataque" se hace cada cierto tiempo, no es permanente.

Se me está complicando! Pero le daremos pelea.

Saludos!
Encontré esto seguido, un par de líneas antes que empiecen los envíos de spam:

Dec 7 20:10:22 h1 postfix/smtpd[28278]: connect from r190-134-194-71.dialup.adsl.anteldata.net.uy[190.134.194.71]
Dec 7 20:10:23 h1 postfix/smtpd[28278]: warning: r190-134-194-71.dialup.adsl.anteldata.net.uy[190.134.194.71]: SASL NTLM authentication aborted
Dec 7 20:10:23 h1 postfix/smtpd[28278]: warning: SASL authentication failure: required parameters missing
Dec 7 20:10:23 h1 postfix/master[27386]: warning: process /usr/lib/postfix/smtpd pid 28278 killed by signal 11
Dec 7 20:10:23 h1 postfix/master[27386]: warning: /usr/lib/postfix/smtpd: bad command startup -- throttling

Luego viene esto (cuando comienzan los envíos):

Dec 7 20:10:49 h1 imapd: LOGIN, user={UNA_CUENTA_DE_CORREO_DE_UN_CLIENTE}, ip=[::ffff:127.0.0.1], port=[55936], protocol=IMAP
Dec 7 20:10:49 h1 postfix/pickup[27389]: 78973550515: uid=2000 from=<info@formandept.com>
Dec 7 20:10:49 h1 postfix/cleanup[28288]: 78973550515: message-id=<396beee415420e3228d377c286b37021@localhost>
Dec 7 20:10:50 h1 postfix/qmgr[27388]: 78973550515: from=<info@formandept.com>, size=2075, nrcpt=1000 (queue active)
Dec 7 20:10:51 h1 imapd: LOGOUT, user={UNA_CUENTA_DE_CORREO_DE_UN_CLIENTE}, ip=[::ffff:127.0.0.1], headers=0, body=0, rcvd=27982, sent=349, time=2

De ahí en más empiezan a repetirse:

Dec 7 20:10:51 h1 postfix/smtp[28312]: 78973550515: to=<aerow@netasia.com.pk>, relay=none, delay=2.3, delays=1.2/0.89/0.22/0, dsn=5.4.4, status=bounced (Host or
domain name not found. Name service error for name=netasia.com.pk type=A: Host not found)
...


Se puede culpar a {UNA_CUENTA_DE_CORREO_DE_UN_CLIENTE} por estar metido ahi en medio? Los tiempos son los mismos. Esto lo pude encontrar en el último ataque parando el servidor y revisando los mails. En ataques anteriores no lo he podido verificar.

Saludos!


RE: Se apoderaron de mi servidor! Ayuda por favor - kilburn - 12-09-2010 03:44 AM

1. No, no puedes culpar a ese cliente que simplemente estaba usando el webmail en ese momento.

2. Sí, parece que es una web la que está enviando mensajes. Así un poco a lo drástico, puedes quitarle el permiso de ejecución a /usr/sbin/sendmail:
Code:
chmod -x /usr/sbin/sendmail

Eso sí, ten en cuenta que probablemente no podrás recibir mails ni de ninguna web ni de los programas típicos que mandan mails (cron, logwatch, etc...).

Para saber exactamente qué web está mandando los mensajes tienes que investigar más por los /var/log/mail.* Lo que buscas es la línea de "pickup" que se corresponde con uno de los "delivery id" de los spams. En tu caso, "A13F966026A" seria un ejemplo de delivery id, y puedes tratar de ver el usuario que lo envió haciendo:
Code:
grep A13F966026A /var/log/mail.log | grep pickup

De ahí sacaras un uid (user identifier), y puedes saber de qué web es haciendo:
Code:
grep <uid> /etc/passwd
(donde <uid> es el numero sacado de la línea anterior).

A partir de ahí ya se trata de encontrar exactamente qué le han hecho a esa web para ponerse a mandar spam a través suyo...


RE: Se apoderaron de mi servidor! Ayuda por favor - sercba - 12-09-2010 06:02 AM

Hola killburn! Muchas gracias por contestar.

Te refieres a la línea que publiqué en el mensaje anterior al tuyo que contiene "pickup"? Es decir, esta:
Code:
Dec 7 20:10:49 h1 postfix/pickup[27389]: 78973550515: uid=2000 from=<info@formandept.com>

Si es así creo que estoy en problemas, porque ese es el usuario de ispcp, no? Mientras tanto voy a ver si encuentro otros.

Saludos!
He encontrado muchas líneas como la anterior. El problema es que veo que los "from" en algunas de ellas son casillas de correos de mis clientes, pero el uid sigue siendo el 2000 tal cual como el spammer. (Aunque he visto algunas líneas que sí tienen el uid correcto).

Eso quiere decir que fue un envío a través del webmail? Dato importante es aclarar que estoy utilizando el "roundcube". Mmm... será que me están atacando por ahí?

Saludos!