2015-02-22 4:45 GMT-06:00 José Miguel (sio2) < sio2.sio2+lista.deb...@gmail.com>:
> Un saludo a la lista: > > Hoy me he desayunado con que mi servidor de correo estaba mandado spam > desde hace algunos días. Me extrañaba la circunstancia, porque el > servidor lleva montado cerca de un año y no había dado problemas. Por si > acaso he comprobado si tenía el relay abierto: > > #v+ > $ telnet mail.midominio.es 25 > Trying 80.32.206.136... > Connected to mail.midominio.es. > Escape character is '^]'. > 220 smtp.midominio.es ESMTP Postfix (Debian/GNU) > ehlo > 501 Syntax: EHLO hostname > ehlo testing > 250-smtp.midominio.es > 250-PIPELINING > 250-SIZE 10240000 > 250-VRFY > 250-ETRN > 250-STARTTLS > 250-AUTH PLAIN LOGIN > 250-AUTH=PLAIN LOGIN > 250-ENHANCEDSTATUSCODES > 250-8BITMIME > 250 DSN > MAIL FROM: <cuentainexiste...@example.com> > 250 2.1.0 Ok > RCPT TO: <t...@example.com> > 554 5.7.1 <t...@example.com>: Relay access denied > #v- > > Y no lo está, porque de ser así los problemas habrían aparecido mucho > antes. El servidor exige validarse para enviar correo a otros > servidores, excepto si la petición procede de las redes locales que > están configuradas así: > > mynetworks = 127.0.0.0/8 > > O sea, sólo el propio servidor, lo cual descarta que el relay > se estuviera haciendo desde algún cliente de la red local. > > No es problema de relay, pero es bueno siempre serciorarse... El servidor está montado principalmente para servir de sostén a algunas > aplicaciones web (moodle, por ejemplo); y solamente yo lo uso > esporádicamente. > > Mirando las anotaciones en /var/log/mail he visto esto: > > #v+ > # grep sasl_username= mail.log.1 > [...] > Feb 18 22:37:39 orrilo postfix/smtpd[7371]: 8FF261122D: > client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username= > pa...@smtp.midominio.es > Feb 18 22:38:01 orrilo postfix/smtpd[6676]: CE9C9109F0: > client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username= > pa...@smtp.midominio.es > Feb 18 22:38:25 orrilo postfix/smtpd[7371]: 6EBE9109F0: > client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username= > pa...@smtp.midominio.es > Feb 18 22:38:48 orrilo postfix/smtpd[6676]: B6FE111238: > client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username= > pa...@smtp.midominio.es > Feb 18 22:39:12 orrilo postfix/smtpd[7371]: 0FE8511224: > client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username= > pa...@smtp.midominio.es > Feb 18 22:39:34 orrilo postfix/smtpd[6676]: 6E45911244: > client=unknown[190.107.244.151], sasl_method=LOGIN, sasl_username= > pa...@smtp.midominio.es > Feb 20 14:13:09 orrilo postfix/smtpd[24490]: 8E78B3A22: > client=unknown[83.170.119.28], sasl_method=LOGIN, sasl_username= > pa...@smtp.midominio.es > Feb 21 14:15:45 orrilo postfix/smtpd[5438]: ED6197F6D: > client=unknown[79.172.242.83], sasl_method=LOGIN, sasl_username= > pa...@smtp.midominio.es > [...] > #v- > El que esta usando tu servidor tiene una cuenta en este caso esta usando pablo@ > Las ips son de Argentina, Hungría, Reino Unido. Si observo los números > 8FF261122D, CE9C9109F0, etc, que creo que los asigna postfix a cada > petición que recibe, veo que están asociadas a envíos de spam. por > ejemplo: > > #v+ > [...] > mail.log.1:Feb 21 14:15:55 orrilo postfix/pipe[5444]: ED6197F6D: to=< > therichsheci...@yahoo.com>, [...] > mail.log.1:Feb 21 14:15:55 orrilo postfix/pipe[5444]: ED6197F6D: to=< > therichsheci...@yahoo.com>, [...] > mail.log.1:Feb 21 14:15:55 orrilo postfix/pipe[5444]: ED6197F6D: to=< > therichsheci...@yahoo.com>, [...] > [,,,] > #v- > > Claro una vez que tuvo alguna credencial ya puede autenticarse en algun outlook o cliente de correo y hacer uso de tu smtp para sus usos masivos. > Así que este parece ser el problema: que han cazado la contraseña de un > usuario del sistema, porque entiendo que estas líneas significan que > alguien se ha autenticado en el servidor como "pablo" para después > enviar spam. Efectivamente, esa cuenta existe y es de alguien al que se > la di, porque de vez en cuando sube documentos a un ftp para que luego se > vean a través de la web. > > Creo que mi diagnóstico es acertado, ¿no? Por lo pronto he deshabilitado > al usuario. Supuesto esto, me gustaría saber dos cosas: > > "Elemental mi querido Watson" > a) ¿Cómo se ha producido esto? > De muchas formas el que usa la autenticación pablo usa autenticación no segura. Si tu servidor de correo usa imap, pop o smtp y no trabajan bajo ningún ssl, entonces cualquier conección que se haga a tu servidor esta vulnerable. Por lo que no es dificil que alguien tome el password y la autenticación de un usuario en un cyber cafe o en un mall escuchando con un wireshark o alguna otra herramiento escuchando en toda la red en espera que algún pescadito se conecte desde esos lugares y le regale sus autenticaciones el resto es pan comido. > b) Si existe alguna manera sencilla de detectar esto más adelante: lo he > detectado unos días después de que comenzara, porque me dio por mirar > los logs por otra razón distinta. > > Generalmente revisando los logs, o al menos que tengas algun script propio que haga filtro que coincida el login con el From o el envío por minuto si los calculos sobrepasan lo normal el script haga un mail a tu correo y notifique. Para fortalecer la seguridad pasa a ssl los servicios y mejora la seguridad en cuanto del cliente a tu servidor se trata ya sea mediante un vpn con ssl o algun metodo para que todo viaje por el vpn SSL y no en texto plano. > En lo relativo a lo primero, entiendo que ftp no es seguro y que quizás > tendría que usar el sftp que ofrece ssh. Sin embargo, ¿es esta una causa > probable de que hayan averiguado la contraseña los spammers o lo es más > que tenga un malware en el ordenador de su casa que le haya obtenido la > contraseña de filezilla, por ejemplo? Eso descartando que su contraseña > sea 1234. Mañana se lo preguntaré. > Todo es problable mi amigo, de igual forma asegurate primero de subir los niveles de seguridad a los básicos ponles ssl y luego revisa de paso si tiene algun malware, permite que los usuarios cambien sus contraseñas y obligalos a que la cambien cada cierto tiempo. > > Por otro lado, por la técnica de ensayo/error no creo que haya sido, > porque tengo habilitado denyhost que banea ips cuando detecta un número de > terminado de intentos fallidos al servidor SSH o al FTP. > > Esto jamás ocurrira si el usuario que se conecta a tu servidor lo hace desde cualquier lado, ahí no sabes quien esta escuchando la red y si tus servicios son sin ssl, ya sea imap, pop, smtp o ftp, el usuario y password van en la comunicación de forma plana por lo que no necesitan estar intentando nada, lo toman desde el momento que hacen la conexión ahí va todo. > Un saludo y gracias de antemano. > > La fuerza te acompañe. > -- > Et nulla stringo, et tutto 'l mondo abraccio > --- Francisco Petrarca --- > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: https://lists.debian.org/20150222104550.ga9...@cubo.casa > > -- ================
