Vps gol trimite spam-uri catre alte servere

DragusPatrick · decembrie 11, 2018, 2:59pm

Salutare. Am o problema cu un vps de la clausw**. De cateva saptamani primesc mereu mail-uri de la claus ca server-ul meu trimite spam catre alte servere din germania si ei imediat imi suspenda server-ul. Bun, am zis ca o fi vreo problema cu postfix sau devocot si le-am dezinstalat, apoi iar se repeta aceeasi poveste. Acum cateva zile am dat un fresh install la vps, deci acum e gol gol si iar aceeasi poveste. De vreo luna stau cu server-ul platit si inchis (sau cateva zile online cateva offline).
S-a mai lovit cineva de probleme asemanatoare?

Am atasat si un exemplu de mail primit de la ei

Valentin_Valeanu · decembrie 11, 2018, 3:13pm

da-i shutdown si vezi daca se mai intampla.

vad ca scrie ca a incercat SSH login nu ca a trimis mailuri. Eventual inchide si SSH server, sau schimba portul default. Sau pune un firewall (CSF de ex) si monitorizeaza accesul pe SSH. Nu este o problema de server de mail

serghei · decembrie 11, 2018, 3:17pm

Vezi să nu ai vreun open proxy pe acolo. Ce alte servicii rulezi?

Apropo de ssh, schimbă-i portul default şi n-o să mai ai în veci tentative de atac.

ct27stf · decembrie 12, 2018, 7:51am

Apropo de ssh, in Anno Domini 2018, nu se mai lasa decat cu

PasswordAuthentication no

serghei · decembrie 12, 2018, 10:41am

Asta te ajută să previi atacurile brute force, dar nu te ajută să previi exploatarea unei eventuale vulnerabilităţi a OpenSSH-ului sau OpenSSL-ului. Istoria ăstora e destul de zbuciumată, cu multe breşe în care nici măcar nu a contat cât de complicată sau cât de lungă parolă/cheie ai pus, atacatorul s-a logat pur şi simplu, fără să aibă nevoie de autentificare. E mai safe să nu le dai ocazia ca nici măcar să nu poată să atingă portul ssh.

ct27stf · decembrie 12, 2018, 11:38am

Pai nici schimbat-ul portului nu te ajuta la 0-day. Doar la scanari de tipul hit’n’run. Ca daca cineva te vrea, te cauta la toate port-urile si incearca si port knocking
Firewall strict si/sau DenyHosts

serghei · decembrie 12, 2018, 1:57pm

Sigur că te ajută, pentru că poţi să blochezi lejer port-scanning-ul, este virtual imposibil să nimereşti exact portul ssh fără să triggerezi firewall-ul. Eu folosesc soluţia de mai jos, care blochează instantaneu IP-ul maşinii atacatoare, dacă “atinge” unul din porturile unde nu are ce căuta (de exemplu telnet/23 şi ssh/22). După ce firewall-ul ţi-a fost trântit în nas, n-ai decât de scanezi până-ţi vine rău, vei găsi închise toate cele 65535 porturi.

-A INPUT -m recent --rcheck --seconds 300 --name badguy --rsource -j DROP
-A INPUT -p tcp -m multiport --ports 22 -m recent --set --name badguy --rsource -j DROP
-A INPUT -p tcp -m multiport --ports 23 -m recent --set --name badguy --rsource -j DROP

Cosmin_Popescu · decembrie 12, 2018, 1:57pm

O intrebare:

Nu este mai safe sa faci un vpn cu server-ul ?

geosoft1 · decembrie 12, 2018, 1:59pm

Cand ai astfel de suspiciuni poti captura traficul cu tcpdump o perioada si vezi apoi ce s-a intamplat (poti vedea captura mai uman in Wireshark )

serghei · decembrie 12, 2018, 1:59pm

Cred că depinde de VPN. Dacă foloseşti ceva gen OpenVPN, e cam aceeaşi chestie, pentru că OpenVPN este bazat pe OpenSSL şi poate fi afectat de vreo vulnerabilitate în biblioteca de criptare.

serghei · decembrie 12, 2018, 2:11pm

E cam inutil să faci asta pe o maşină afectată, pentru că malware-ul poate face hijacking la apelurile de sistem şi să-ţi prezinte doar ce vrea el. De exemplu, pe tcpdump îl poate păcăli să arate orice alt trafic în afară de al lui, pe top/ps îl poate păcăli să afişeze orice proces în afară de el însuşi, pe ls îl poate păcăli să afişeze orice fişiere în afară de ale lui etc. E foarte tricky să faci debugging pe o maşină compromisă, nu poţi să ai încredere în nicio unealtă de pe maşina aia.

DragusPatrick · decembrie 15, 2018, 5:37pm

Am rezolvat problema. Am schimbat portul default ssh și am dezactivat logarea cu user-ul root și acum pare totul in regula.
Mulțumesc tuturor pentru sfaturi!