Se apoderaron de mi servidor! Ayuda por favor

[kilburn]

Quote:He encontrado muchas líneas como la anterior. El problema es que veo que los "from" en algunas de ellas son casillas de correos de mis clientes, pero el uid sigue siendo el 2000 tal cual como el spammer. (Aunque he visto algunas líneas que sí tienen el uid correcto).

Piensa que bajo el uid 2000 se ejecutan:

1. El panel de control
2. El webmail
3. El gestor de ficheros web (net2ftp)
4. Phpmyadmin

Aun así, el webmail por defecto está configurado para usar SMTP en vez de sendmail, así que del webmail no vienen esas líneas. Eso sí, el panel a veces envía correos (de bienvenida, contraseña perdida y cosas por el estilo), aunque no estoy seguro de qué "from" utiliza.

Qué versión del panel tienes? Mira los accesos en los logs del apache (al host del panel) para las mismas horas a las que aparecen los correos. Hay accesos raros? Algo que no cuadre?

[sercba]

El roundcube utiliza la función mail() por defecto y así lo tenía configurado yo. O sea que sí salía por el uid 2000. Ahora estoy arreglando esto para que roundcube envíe a través de SMTP por las dudas.

Luego me fijo el tema de los logs de apache según los horarios y ver si encuentro algo raro.

Tengo la versión 1.0.5.

Saludos y gracias nuevamente!

---

Webmail asegurado.

Investigando un poco más, veo que los envíos tambien se hacen desde el uid 2038.

Parte del log de apache del usuario uid 2038:

Code:

190.229.187.84 - - [06/Dec/2010:13:49:17 -0300] "POST /contacto/index.php HTTP/1.1" 200 1537 "http://nblr.solidhosting.com.ar/contacto/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; es-AR; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)"
190.30.236.34 - - [06/Dec/2010:13:52:08 -0300] "POST /contacto/index.php HTTP/1.1" 200 1792 "http://nblr.solidhosting.com.ar/contacto/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"
190.30.236.34 - - [06/Dec/2010:13:52:12 -0300] "POST /contacto/index.php HTTP/1.1" 200 1792 "http://nblr.solidhosting.com.ar/contacto/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"
190.30.236.34 - - [06/Dec/2010:13:52:52 -0300] "POST /contacto/index.php HTTP/1.1" 200 1802 "http://nblr.solidhosting.com.ar/contacto/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"
190.30.236.34 - - [06/Dec/2010:13:53:44 -0300] "POST /contacto/index.php HTTP/1.1" 200 1797 "http://nblr.solidhosting.com.ar/contacto/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"
190.30.236.34 - - [06/Dec/2010:13:53:45 -0300] "POST /contacto/index.php HTTP/1.1" 200 1797 "http://nblr.solidhosting.com.ar/contacto/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"

Más que evidente que están intentando por aquí, no?

Ahora tengo que revisar ese form (que se lo ve seguro para colmo) y luego me voy a poner a fijar por dónde están enviando con el uid 2000 (que no tiene ningun "form" visible).

Ya nos vamos encaminando! Saludos.

[sercba]

No entiendo realmente cómo es posible que rompan ese form, el from está con un string, sin variables post, ni get ni nada. Por el momento voy a descartar esta posibilidad y seguir investigando. Tampoco encontré más envíos con este usuario, puede haber sido una casualidad.

Ahora estoy con un tail -f /var/log/mail.info esperando un nuevo ataque para conseguir más info.

El webmail ya está con SMTP, asi que si es por ahi me voy a enterar de qué cuenta es.

Un dato curioso es que el spammer utiliza como cuenta remitente casi siempre la forma webmail@xxx.xxx, variando unicamente el dominio!

Saludos!

[kilburn]

(12-09-2010 09:50 AM)sercba Wrote:  No entiendo realmente cómo es posible que rompan ese form, el from está con un string, sin variables post, ni get ni nada.

Si no se usa nada de los datos que ha mandado el usuario.... por qué hay un formulario antes y el acceso es con POST? Vamos, digo yo. Si quieres/puedes pega la página en cuestión en pastebin y le echo un vistazo.

[DAX]

(12-09-2010 08:25 AM)sercba Wrote:  El roundcube utiliza la función mail() por defecto y así lo tenía configurado yo. O sea que sí salía por el uid 2000. Ahora estoy arreglando esto para que roundcube envíe a través de SMTP por las dudas.

Luego me fijo el tema de los logs de apache según los horarios y ver si encuentro algo raro.

Tengo la versión 1.0.5.

Saludos y gracias nuevamente!

---

Webmail asegurado.

Investigando un poco más, veo que los envíos tambien se hacen desde el uid 2038.

Parte del log de apache del usuario uid 2038:

Code:

190.229.187.84 - - [06/Dec/2010:13:49:17 -0300] "POST /contacto/index.php HTTP/1.1" 200 1537 "http://nblr.solidhosting.com.ar/contacto/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; es-AR; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)"
190.30.236.34 - - [06/Dec/2010:13:52:08 -0300] "POST /contacto/index.php HTTP/1.1" 200 1792 "http://nblr.solidhosting.com.ar/contacto/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"
190.30.236.34 - - [06/Dec/2010:13:52:12 -0300] "POST /contacto/index.php HTTP/1.1" 200 1792 "http://nblr.solidhosting.com.ar/contacto/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"
190.30.236.34 - - [06/Dec/2010:13:52:52 -0300] "POST /contacto/index.php HTTP/1.1" 200 1802 "http://nblr.solidhosting.com.ar/contacto/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"
190.30.236.34 - - [06/Dec/2010:13:53:44 -0300] "POST /contacto/index.php HTTP/1.1" 200 1797 "http://nblr.solidhosting.com.ar/contacto/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"
190.30.236.34 - - [06/Dec/2010:13:53:45 -0300] "POST /contacto/index.php HTTP/1.1" 200 1797 "http://nblr.solidhosting.com.ar/contacto/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; msn OptimizedIE8;ESAR)"

Más que evidente que están intentando por aquí, no?

Ahora tengo que revisar ese form (que se lo ve seguro para colmo) y luego me voy a poner a fijar por dónde están enviando con el uid 2000 (que no tiene ningun "form" visible).

Ya nos vamos encaminando! Saludos.

Si esta: http://nblr.solidhosting.com.ar/contacto/index.php es la url del form, mi consejo es que lo aseguren con captcha, ya que no tiene y puede ser explotado por un spambot.

Prueba deshabilitando por un par de horas ese form a ver si continua el spameo o se detiene.

Igualmente, en lo que he visto de ese form, si está en tu servidor, que lo protejan con captcha.

SaludOS/2

[sercba]

Hola!

Por ahora, después de configurar el webmail con smtp, no he visto nuevos envíos de spam. Voy a esperar a ver si en los próximos días ocurren novedades.

De todas formas les dejo el form código de contacto:
http://pastebin.com/fzH63E1m

Muchas gracias a todos nuevamente, es muy reconfortante no sentirse solo en estas situaciones.

Saludos!

[kilburn]

Pues sí, ese form es "petable". En la función "enviar()", vemos lo siguiente:

PHP Code:

...
                $denombre = trim($_POST["fld_{$_POST['motivo']}_nombre"]);
...
        $message = Swift_Message::newInstance()->
          setSubject($asunto)->
          setFrom(array($de => $denombre))->
          setTo(array($para))->
          setBody($texto, 'text/html');
... 


Es decir, se utiliza un campo que viene del usuario directamente como nombre del remitente, sin comprobar nada. Resulta que el nombre del remitente va en las cabeceras del mensaje, así que esencialmente le damos la posibilidad de hacer lo que le salga de los webos a un atacante

[sercba]

NUEVO ATAQUE !!!

Se ve que es a través del webmail nomás! Porque ahora pude detectar el login en el smtp con el queue_id de los mansajes!

Ya sé cual es la cuenta culpable, le cambio la contraseña nomas y aviso al cliente!

Espero sea esto, pero para mi más claro que esta prueba imposible:

Code:

Dec 10 08:13:27 h1 postfix/smtpd[2415]: 2B2CA55138B: client=h1.solidhost.com.ar.local[127.0.0.1], sasl_method=DIGEST-MD5, sasl_username=computos@undominio.com
Dec 10 08:13:33 h1 postfix/cleanup[3177]: 2B2CA55138B: message-id=<c6825cad9c8f3b313875ab44d6716271@localhost>
Dec 10 08:13:33 h1 postfix/qmgr[5452]: 2B2CA55138B: from=<info@atm.net>, size=1304, nrcpt=500 (queue active)
Dec 10 08:13:34 h1 postfix/qmgr[5452]: 2B2CA55138B: to=<VIA8486@AOL.COM>, relay=none, delay=7.1, delays=6.7/0.37/0/0, dsn=4.3.0, status=deferred (mail transport unavailable)
Dec 10 08:13:34 h1 postfix/qmgr[5452]: 2B2CA55138B: to=<VICTORMSANCHEZ@AOL.COM>, relay=none, delay=7.1, delays=6.7/0.39/0/0, dsn=4.3.0, status=deferred (mail transport unavailable)
Dec 10 08:13:34 h1 postfix/qmgr[5452]: 2B2CA55138B: to=<VIKINGRE@AOL.COM>, relay=none, delay=7.1, delays=6.7/0.41/0/0, dsn=4.3.0, status=deferred (mail transport unavailable)
Dec 10 08:13:34 h1 postfix/qmgr[5452]: 2B2CA55138B: to=<VINCE176@AOL.COM>, relay=none, delay=7.1, delays=6.7/0.43/0/0, dsn=4.3.0, status=deferred (mail transport unavailable)
Dec 10 08:13:34 h1 postfix/qmgr[5452]: 2B2CA55138B: to=<VNCALD@AOL.COM>, relay=none, delay=7.2, delays=6.7/0.44/0/0, dsn=4.3.0, status=deferred (mail transport unavailable)
Dec 10 08:13:34 h1 postfix/qmgr[5452]: 2B2CA55138B: to=<VQUEVEDO@AOL.COM>, relay=none, delay=7.2, delays=6.7/0.45/0/0, dsn=4.3.0, status=deferred (mail transport unavailable)
.... (y así miles)

Saludos!

[sercba]

Bueno gente, se ve que era eso nomas porque hasta ahora no ha habido señales de otro ataque.

Pero estoy teniendo un problema, casi nadie recibe los correos provenientes de mi servidor, me los rechazan. Alguien sabe como puedo solucionar esto?

Muchas gracias a todos los que me ayudaron. Un gran saludo.

[kilburn]

Lo primero, prueba de comprobar si tu IP está en alguna RBL...