Vps gol trimite spam-uri catre alte servere


#1

Salutare. Am o problema cu un vps de la clausw**. De cateva saptamani primesc mereu mail-uri de la claus ca server-ul meu trimite spam catre alte servere din germania si ei imediat imi suspenda server-ul. Bun, am zis ca o fi vreo problema cu postfix sau devocot si le-am dezinstalat, apoi iar se repeta aceeasi poveste. Acum cateva zile am dat un fresh install la vps, deci acum e gol gol si iar aceeasi poveste. De vreo luna stau cu server-ul platit si inchis (sau cateva zile online cateva offline).
S-a mai lovit cineva de probleme asemanatoare?

Am atasat si un exemplu de mail primit de la ei


(Valentin Văleanu) #2

da-i shutdown si vezi daca se mai intampla.

vad ca scrie ca a incercat SSH login nu ca a trimis mailuri. Eventual inchide si SSH server, sau schimba portul default. Sau pune un firewall (CSF de ex) si monitorizeaza accesul pe SSH. Nu este o problema de server de mail


(Serghei Amelian) #3

Vezi să nu ai vreun open proxy pe acolo. Ce alte servicii rulezi?


Apropo de ssh, schimbă-i portul default şi n-o să mai ai în veci tentative de atac.


(Cătălin Nicolescu) #4

Apropo de ssh, in Anno Domini 2018, nu se mai lasa decat cu

PasswordAuthentication no

(Serghei Amelian) #5

Asta te ajută să previi atacurile brute force, dar nu te ajută să previi exploatarea unei eventuale vulnerabilităţi a OpenSSH-ului sau OpenSSL-ului. Istoria ăstora e destul de zbuciumată, cu multe breşe în care nici măcar nu a contat cât de complicată sau cât de lungă parolă/cheie ai pus, atacatorul s-a logat pur şi simplu, fără să aibă nevoie de autentificare. E mai safe să nu le dai ocazia ca nici măcar să nu poată să atingă portul ssh.


(Cătălin Nicolescu) #6

Pai nici schimbat-ul portului nu te ajuta la 0-day. Doar la scanari de tipul hit’n’run. Ca daca cineva te vrea, te cauta la toate port-urile si incearca si port knocking
Firewall strict si/sau DenyHosts


(Serghei Amelian) #7

Sigur că te ajută, pentru că poţi să blochezi lejer port-scanning-ul, este virtual imposibil să nimereşti exact portul ssh fără să triggerezi firewall-ul. Eu folosesc soluţia de mai jos, care blochează instantaneu IP-ul maşinii atacatoare, dacă “atinge” unul din porturile unde nu are ce căuta (de exemplu telnet/23 şi ssh/22). După ce firewall-ul ţi-a fost trântit în nas, n-ai decât de scanezi până-ţi vine rău, vei găsi închise toate cele 65535 porturi.

-A INPUT -m recent --rcheck --seconds 300 --name badguy --rsource -j DROP
-A INPUT -p tcp -m multiport --ports 22 -m recent --set --name badguy --rsource -j DROP
-A INPUT -p tcp -m multiport --ports 23 -m recent --set --name badguy --rsource -j DROP

(cosmos) #8

O intrebare:

Nu este mai safe sa faci un vpn cu server-ul ?


(George Calianu) #9

Cand ai astfel de suspiciuni poti captura traficul cu tcpdump o perioada si vezi apoi ce s-a intamplat (poti vedea captura mai uman in Wireshark :wink:)


(Serghei Amelian) #10

Cred că depinde de VPN. Dacă foloseşti ceva gen OpenVPN, e cam aceeaşi chestie, pentru că OpenVPN este bazat pe OpenSSL şi poate fi afectat de vreo vulnerabilitate în biblioteca de criptare.


(Serghei Amelian) #11

E cam inutil să faci asta pe o maşină afectată, pentru că malware-ul poate face hijacking la apelurile de sistem şi să-ţi prezinte doar ce vrea el. De exemplu, pe tcpdump îl poate păcăli să arate orice alt trafic în afară de al lui, pe top/ps îl poate păcăli să afişeze orice proces în afară de el însuşi, pe ls îl poate păcăli să afişeze orice fişiere în afară de ale lui etc. E foarte tricky să faci debugging pe o maşină compromisă, nu poţi să ai încredere în nicio unealtă de pe maşina aia.


#12

Am rezolvat problema. Am schimbat portul default ssh și am dezactivat logarea cu user-ul root și acum pare totul in regula.
Mulțumesc tuturor pentru sfaturi!