Repository 32bit  Forum
Repository 64bit  Wiki

Postfix & virus & blacklisted [RISOLTO]

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Postfix & virus & blacklisted [RISOLTO]

Messaggioda tgmx » lun feb 15, 2010 19:46

Ciao Ragazzi,
l'argomento è un po' complicato ma sono sicuro che su Slacky qualcuno saprà di cosa sto parlando... ;)

Un cliente mi ha detto che dall'ufficio non riescono più a mandare la posta (server in sede postfix e dns su aruba che puntano lì).
Dando un'occhiata al messaggio che viene restituito si legge qualcosa tipo:
rejected ..... from ip XX.XX.XX.XX blacklisted by tin.it


In pratica il loro ip pubblico è finito in una blacklist.
Dato che il server di posta l'ho configurato io ed è identico a quello che uso nell'azienda in cui lavoro mi sono un po' preoccupato.
Chiaramente è già bloccato il relay da ip fuori della lan (nessuno da fuori può usare quel server come server smtp) .L'unica causa che mi è venuta in mente è che ultimamente hanno avuto diversi problemi di virus e pc in tilt quindi è probabile che qualche "parassita" inviasse una gran quantità di spam da uno o più pc infetti.

Secondo voi è possibile...? Ed eventualmente come si potrebbe evitare una cosa del genere?

Edit:
Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?
Ultima modifica di tgmx il mar feb 16, 2010 19:22, modificato 1 volta in totale.
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: Postfix & virus & blacklisted

Messaggioda notsafe » lun feb 15, 2010 20:50

tgmx ha scritto:Ciao Ragazzi,
Chiaramente è già bloccato il relay da ip fuori della lan (nessuno da fuori può usare quel server come server smtp) .L'unica causa che mi è venuta in mente è che ultimamente hanno avuto diversi problemi di virus e pc in tilt quindi è probabile che qualche "parassita" inviasse una gran quantità di spam da uno o più pc infetti.

Secondo voi è possibile...? Ed eventualmente come si potrebbe evitare una cosa del genere?


Prima cosa fa fare: verificare in quale lista è presente l'IP.Ti consiglio di andare su un sito di RBL check (io per esempio mi trovo piuttosto bene con http://www.robtex.com ) e controllare: da qui si può capire se è un reale problema di SPAM (alcuni rbl service per agevolare il compito ai sysadmin mostrano tracciati di log) o di inserimento in qualche DUL (dialup list).In questo modo poi puoi procedere con l'eventuale richiesta di delist.

Fatto questo...

il server in questione esce in internet con lo stesso IP della LAN interna (situazione classica nelle SOHO)?
Se si, è molto probabile che il problema non riguarda il server ma la (ipotizzabile) presenza di qualche virus/trojan su qualche postazione che sta inviando SPAM.
Come risolvere il problema?
- identificazione del pc infetto
- antivirus e patch
. Non permettere connessioni verso l'esterno sulla porta 25/tcp (ovviamente tale regola deve avere come unica eccezzione il server smtp).

Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?


si
http://www.postfix.org/postconf.5.html# ... ted_sender
notsafe
Linux 2.4
Linux 2.4
 
Messaggi: 451
Iscritto il: mar mar 21, 2006 11:00

Re: Postfix & virus & blacklisted

Messaggioda tgmx » lun feb 15, 2010 21:08

@notsafe
Chiaro semplice e conciso...

intanto grazie,

per adesso sto guardando il sito che hai postato (http://www.robtex.com) e vedrò di capirci di più.

Il server in questione esce in internet con lo stesso IP della LAN.

Sul discordo "individuazione pc infetto" ci sto lavorando.

Unico punto poco chiaro:
Non permettere connessioni verso l'esterno sulla porta 25/tcp (ovviamente tale regola deve avere come unica eccezzione il server smtp).

... se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?

E se è così, a questo punto è inutile il parametro per postfix che ho chiesto, dico bene?
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: Postfix & virus & blacklisted

Messaggioda conraid » lun feb 15, 2010 21:16

tgmx ha scritto:
Unico punto poco chiaro:
Non permettere connessioni verso l'esterno sulla porta 25/tcp (ovviamente tale regola deve avere come unica eccezzione il server smtp).

... se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?


è possibile

tgmx ha scritto:E se è così, a questo punto è inutile il parametro per postfix che ho chiesto, dico bene?


secondo me è sempre bene limitare le connessioni se non necessarie
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Postfix & virus & blacklisted

Messaggioda ZeroUno » lun feb 15, 2010 21:23

vediti questi link per scoprire come stai messo. In particolare il primo mostra un grafico del traffico 'cattivo' che hai generato nell'ultimo mese.

http://www.trustedsource.org/query/XX.XX.XX.XX
http://www.spamhaus.org/query/bl?ip=XX.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX

Anche io concordo che probabilmente il tuo mailserver è stato bannato senza aver spedito mail perchè il virus ha fatto da sé, quindi per evitare blocca la porta 25 in uscita.

sul router:
iptables -A OUTPUT -p tcp --dport 25 -s <ip-locale-del-mail-server> -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j DROP

leggi
http://cbl.abuseat.org/nat.html


Ciao
01
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4414
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Re: Postfix & virus & blacklisted

Messaggioda tgmx » lun feb 15, 2010 21:33

ZeroUno ha scritto:vediti questi link per scoprire come stai messo. In particolare il primo mostra un grafico del traffico 'cattivo' che hai generato nell'ultimo mese.

http://www.trustedsource.org/query/XX.XX.XX.XX
http://www.spamhaus.org/query/bl?ip=XX.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://www.senderbase.org/senderbase_qu ... X.XX.XX.XX
http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX

Anche io concordo che probabilmente il tuo mailserver è stato bannato senza aver spedito mail perchè il virus ha fatto da sé, quindi per evitare blocca la porta 25 in uscita.

sul router:
iptables -A OUTPUT -p tcp --dport 25 -s <ip-locale-del-mail-server> -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j DROP
leggi
http://cbl.abuseat.org/nat.html
Ciao

01


Ho provato: http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX
e la risposta è stata:
Codice: Seleziona tutto
IP Address XX.XX.XX.XX is currently listed in the CBL.
It was detected at 2010-02-11 11:00 GMT (+/- 30 minutes), approximately 4 days, 10 hours ago.

Questo dovrebbe confermare il fatto che l'ip è finito in una blacklist, giusto?
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: Postfix & virus & blacklisted

Messaggioda ZeroUno » lun feb 15, 2010 21:42

si.
con il primo link hai un grafico con cui ti rendi conto quando è cominciato e quanto è durato.
adesso è ora di correre ai ripari.
1) bloccare la porta 25 (eventualmente metterci anche un log)
2) scansione di tutti i pc ed individuazione dell'incriminato
3) capire come è entrato il virus
4) mettere un antivirus sul server sia per la posta in uscita, sia per la posta in entrata
5) configurare il proxy sul server con un antivirus anche lì e bloccare la porta 80 e 443 (io direi di bloccare tutto e obbligare a passare dal proxy)
6) un bel spamassassin e compagnia sul server di posta sia in uscita che in entrata.
7) segnalare al cbl e agli altri che non sei uno spammer
8) scrivere ai provider che ti bloccano che non sei uno spammer
9) aspettare una settimanella almeno da quando la situazione è stata pulita.

Ciao
01
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4414
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Re: Postfix & virus & blacklisted

Messaggioda tgmx » lun feb 15, 2010 21:54

ZeroUno ha scritto:si.
con il primo link hai un grafico con cui ti rendi conto quando è cominciato e quanto è durato.
adesso è ora di correre ai ripari.
1) bloccare la porta 25 (eventualmente metterci anche un log)
2) scansione di tutti i pc ed individuazione dell'incriminato
3) capire come è entrato il virus
4) mettere un antivirus sul server sia per la posta in uscita, sia per la posta in entrata
5) configurare il proxy sul server con un antivirus anche lì e bloccare la porta 80 e 443 (io direi di bloccare tutto e obbligare a passare dal proxy)
6) un bel spamassassin e compagnia sul server di posta sia in uscita che in entrata.
7) segnalare al cbl e agli altri che non sei uno spammer
8) scrivere ai provider che ti bloccano che non sei uno spammer
9) aspettare una settimanella almeno da quando la situazione è stata pulita.

Ciao
01


Perfetto... a volte devono capitare queste cose per imparare qualcosa... :)

Grazie mille a tutti,
ora cercherò di tirare fuori quell'ip dalla blacklist e posterò i risultati... :)
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: Postfix & virus & blacklisted

Messaggioda ZeroUno » mar feb 16, 2010 0:52

tgmx ha scritto:Perfetto... a volte devono capitare queste cose per imparare qualcosa... :)

vero, ma mi sarei accontentato di impararle sui libri piuttosto che sulla pelle. Ancora sto combattendo con spam non rilevato come tale e mail pulite rilevate come spam. Che non sarebbe un grande problema, se parte di queste mail non fossero del capo (il datore di lavoro ;-) ).

Ciao
01
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4414
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Re: Postfix & virus & blacklisted

Messaggioda NetNightmare » mar feb 16, 2010 12:24

.. se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?


Nel 90 % dei casi i virus che inviano mail lo fanno senza usare il server di posta .....ecco perche come gia' ti hanno consigliato e' sempre bene inibire l'utilizzo della porta 25 dall'interno della propria azienda, specialmente nel caso che l'ip di uscita della connessione internet degli utenti sia lo stesso di uscita del server smtp ...

Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?

si
http://www.postfix.org/postconf.5.html# ... ted_sender


Esatto io aggiungo anche che sarebbe cosa buona e giusta che il tuo server richieda anche l'autenticazione per l'invio .. anche se l'invio non e' permesso dall'esterno ... \:D/ \:D/


Comunque hai risolto ormai ;-D la CBL e' abbastanza veloce nel delisting ...
Avatar utente
NetNightmare
Linux 2.0
Linux 2.0
 
Messaggi: 175
Iscritto il: lun ago 18, 2008 10:00
Località: Rome
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox

Re: Postfix & virus & blacklisted

Messaggioda tgmx » mar feb 16, 2010 14:39

NetNightmare ha scritto:
.. se interpreto bene questo consiglio, secondo te l'eventuale trojan non invia posta (spam) usando il server postfix ma direttamente dai pc infetti (un po' come se fossero dei piccoli server smtp)? Quindi che ci sia o non ci sia il server di posta cambia poco...?


Nel 90 % dei casi i virus che inviano mail lo fanno senza usare il server di posta .....ecco perche come gia' ti hanno consigliato e' sempre bene inibire l'utilizzo della porta 25 dall'interno della propria azienda, specialmente nel caso che l'ip di uscita della connessione internet degli utenti sia lo stesso di uscita del server smtp ...

Che voi sappiate esiste un parametro per dire a postfix che l'indirizzo del mittente di ogni messaggio debba essere di quelli "gestiti" dal server stesso?

si
http://www.postfix.org/postconf.5.html# ... ted_sender


Esatto io aggiungo anche che sarebbe cosa buona e giusta che il tuo server richieda anche l'autenticazione per l'invio .. anche se l'invio non e' permesso dall'esterno ... \:D/ \:D/


Comunque hai risolto ormai ;-D la CBL e' abbastanza veloce nel delisting ...


Ammetto di non aver mai pensato a chiudere la 25 per i client tra l'altro inizialmente usavano il server di posta direttamente su aruba quindi chiudere la 25 bloccava la posta.

Ora provo a far togliere quell'ip dalla blacklist e vediamo quanto ci mettono...
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: Postfix & virus & blacklisted

Messaggioda tgmx » mar feb 16, 2010 19:21

A quanto pare è tornato tutto a posto... :thumbright:

Alla fine ho fatto come mi è stato suggerito:

1) chiuso subito in uscita la porta 25 per tutti i client della lan
2) richiesto il delisting dal sito: http://cbl.abuseat.org/lookup.cgi?ip=XX.XX.XX.XX
(le X rappresentano l'ip messo in blacklist)
3) fatto una scansione con un tool consigliato nel sito precedente
e scaricato da: http://vil.nai.com/vil/stinger/ (anche se ancora non ho trovato nessun virus o simili)

...speriamo che basti!

Unico neo:
ora dalla lan tutti quelli che inviavano la posta dal loro portatile con server in uscita del tipo out.alice.it non ci riescono più e quando sono in ufficio devono cambiarlo con l'ip locale del server... Questo è il prezzo da pagare per avere un po' più di tranquillità... :D


Grazie di nuovo a tutti!!!
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: Postfix & virus & blacklisted

Messaggioda NetNightmare » mar feb 16, 2010 20:39

tgmx ha scritto:Unico neo:
ora dalla lan tutti quelli che inviavano la posta dal loro portatile con server in uscita del tipo out.alice.it non ci riescono più e quando sono in ufficio devono cambiarlo con l'ip locale del server... Questo è il prezzo da pagare per avere un po' più di tranquillità... :D


mmmmmm ..............e come mai hanno out.alice.it ( non ci crederete ma ....si ve lo dico ....sexchange 2003 ) come server di posta in uscita ? lo usano per l'account aziedale o lo usano per i loro account personali ?
Avatar utente
NetNightmare
Linux 2.0
Linux 2.0
 
Messaggi: 175
Iscritto il: lun ago 18, 2008 10:00
Località: Rome
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox

Re: Postfix & virus & blacklisted

Messaggioda tgmx » mar feb 16, 2010 21:04

NetNightmare ha scritto:mmmmmm ..............e come mai hanno out.alice.it ( non ci crederete ma ....si ve lo dico ....sexchange 2003 ) come server di posta in uscita ? lo usano per l'account aziedale o lo usano per i loro account personali ?


:lol:
No, è più semplice di quello che sembra. Chi va al lavoro col portatile e ha a casa la stessa adsl che ha in ufficio può (poteva) lasciare il client di posta configurato con l'smtp di alice e non dover cambiare ogni volta... credo sia solo per quello... o comunque quello è un motivo. ;)
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: Postfix & virus & blacklisted [RISOLTO]

Messaggioda ZeroUno » mar feb 16, 2010 23:27

puoi configurare il firewall in modo da redirezionare automaticamente tutto il traffico verso out.alice.it porta 25 verso il tuo server

Ciao
01
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4414
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

cron