主要问题:
Ubuntu(或任何其他发行版)是否有可能感染机器人/垃圾邮件软件?
细节:
我的 ISP 封锁了我的 25 端口(和 465 端口)用于向外连接(从家到远程服务器的出站连接)到 SMTP,所以我现在无法在家使用我的商务电子邮件。他们封锁我的理由是:“因为你发垃圾邮件”,但我并没有发垃圾邮件,他们告诉我,如果我不发垃圾邮件,那么我的操作系统可能被感染了……
我可以使用一套全面的工具和指南来检查系统(Ubuntu 13.10 14.04 64位) 是否存在任何渗透/恶意软件/rootkit。
附言
我也安装了 Windows 8.1(64 位),因为我也喜欢在家用电脑上玩游戏......但这只是我在 Windows 上做的事......当我有时间的时候......
无线已关闭,即使打开,也受到通行保护。
扫描窗口没有发现任何内容,也不应该发现任何内容,因为
那里安装了窗口和游戏。我可以连接到其他 SMTP 端口,但我们的服务器使用 25,这无法改变
我还测试了从 windoze 连接到端口 25(使用 thunderbird)
我在 ubuntu 上使用 thunderbird 作为电子邮件客户端,并测试了其他一些客户端,只是为了验证这不是 thunderbird 的配置错误。
Telneting 还输出连接超时......
编辑:
我的 ISP 仍然拒绝解除对我的阻止...也许我必须在服务器上打开 587,因为目前它还没有被阻止(我仍然可以使用 Gmail)
编辑2:
我想今天我联系到了 ISP 支持部门的另一位技术人员,他告诉我他们没有阻止我...我当时非常生气!我不知道之前的技术人员在做什么...也许他是新手,正在阅读脚本...
因此,我通过手机网络共享测试了另一家 ISP,并成功通过端口 25 发送电子邮件。本质上我没有改变任何东西,只是改变了 ISP。他们在跟我开玩笑吗?也许技术支持人员不知道如何解释他们在屏幕上看到的我的帐户信息,或者可能是其他原因?
我采取的另一个步骤是将路由器完全重置为默认设置并获取另一个动态 IP。仍然无法连接到端口 25。
我打算从朋友或其他人那里得到一个二手路由器来用另一个路由器进行测试,以确保问题出在我的 ISP 上。
编辑 3:距离我上次更新这个问题已经有一段时间了。我搬回了我的旧房子(在该国的另一个地方),我使用的是同一个互联网提供商。同一家公司!!我的设置工作正常。我可以使用端口 25 正常发送电子邮件。我敢打赌,问题出在 ISP 分发给新客户的那个糟糕的中兴路由器上。
答案1
这可能吗?
为什么不会是吗?Ubuntu 是一个非常灵活的系统,但它与大多数其他操作系统存在许多共同的问题:
- Ubuntu 中的软件可被利用
- 您不需要 root 权限即可运行垃圾邮件守护进程。
- 人们可以破解弱身份验证
- Ubuntu 用户可以被说服安装/运行几乎任何东西
- 一旦进入,黑客就可以上传/远程下载更多软件来发送垃圾邮件
让我们实际的关于安全性,请点击此处。跨平台 Flash 漏洞很容易转化为植入程序,加载并安装登录时自行运行的垃圾邮件守护程序。它不需要 root 权限。
仔细核实 ISP 的说法
“但我的 ISP 不会骗我!”没人说曾经。许多家庭 ISP 确实会习惯性地阻止端口 25,而其他 ISP 则强迫您使用他们的 SMTP 服务器(这是他们允许的唯一传出的 p25 连接)。
作为版主,我可以看到您的 IP,而且我已经检查过您的家庭 ISP。如果您在 Google 上搜索他们的名字和“端口 25”或“smtp”,您会看到很多其他人也处于类似的情况。而且他们确实有一个中央 SMTP 服务器。
我知道您说这是一个新问题,但请仔细检查它不是您的 ISP(或在您的 ISP 上需要正确的设置)。最后的解决方法应该仍然适合您。
发现问题
虽然有可能,但我仍然不确定它是否是最有可能的目标。如果你和我一样,你周围都是联网设备,你需要查看它们。
我会先向 ISP 索要一些证据。时间戳是最低限度,但如果能看到他们使用什么来确保这不是自动标记出错,那就太好了。
这可能是因为有人向 ISP 的滥用部门标记了工作电子邮件。
您需要知道当时使用的是什么操作系统。Ubuntu 和 Windows 都会保留身份验证日志,因此请将它们与它们可以发送给您的任何证据进行比较。
使用以下方式记录 25 端口的传出活动某物喜欢:
iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
说实话,如果你已经被屏蔽了,我不确定这是否有效,但值得一试。各种 Windows 防火墙将为你提供各种日志记录替代方案。
请注意,任何设备您的连接上可能正在发送电子邮件,而不仅仅是您的计算机。电话、支持 wifi 的烤面包机、顽皮的邻居等。要找到发送此邮件的任何东西可能需要网络级数据包拦截和记录。这一切都是可能的,但很麻烦。
一旦你用尽了更多可能的途径,就选择Linux 防病毒软件。我个人无法代表他们中的任何一个人或他们的检测率发言。
立即解决堵塞问题
如果需要继续,最简单的方法是通过某种模糊或加密的连接来继续发送电子邮件。如果您可以访问 SSH 服务器(例如在工作中),这通常是最好的方法。
ssh -D9100 user@host
然后只需更改您的电子邮件客户端以使用 SOCKS 代理地址localhost
、端口9100
。您的 ISP 将无法干扰这一点,而且如果发送垃圾邮件的人能够猜出 SOCKS 配置,我会感到非常惊讶。
在这种情况下最有可能的情况是什么……?
检查您是否可以通过 ISP 的 SMTP 服务器发送电子邮件。我检查过,您的 ISP 有一个。他们可能强迫所有用户使用它,因为这很常见。技术支持人员可能只是感到困惑。
让另一个用户(使用另一个帐户、另一条电话线)尝试连接到您公司的 SMTP。使用 即可快速完成此操作telnet example.com 25
。
如果他们无法连接,则假设这是整个 ISP 的问题 — 而不仅仅是您的帐户 — 所以这可能不是一个安全问题...这只是您需要处理或解决的问题。
如果他们能连接后,您又回到了原点。有东西从您的网络发送电子邮件,导致您的 ISP 封锁您。病毒扫描、流量监控和偏执狂是您最好的朋友。
答案2
Ubuntu 确实有可能被感染并成为僵尸网络的一部分。但这种情况也非常不可能。
您应该可以向您的 ISP 索要他们的记录。他们会帮助您找到问题。从这里很难诊断,但您的无线设备很有可能是罪魁祸首。请检查您是否使用 WPA2 来确保安全,并且WPS被禁用。
在您解决问题并停止发送垃圾邮件一段时间后,您或许可以说服您的 ISP 解除对您的端口的阻止。
答案3
封锁传出端口 25 是一种常见做法,因为出于对垃圾邮件的担忧,它有点不鼓励最初提交电子邮件。它仍在邮件服务器之间使用。
提交(原始)电子邮件的正确(通常不会被阻止)端口是端口 587,即所谓的提交端口。邮件提供商通常支持它,系统操作员通常不会阻止它。
答案4
许多其他答案都关注有人使用您的 wifi 或感染您的机器。这些都是可能的,但他们忽略了最简单的解释(奥卡姆剃刀...)。
您很可能充当了开放中继,这意味着世界上的任何人都可以连接到您的机器,只需礼貌地要求它将邮件发送到某个地方,您就会照做,不会有任何疑问。这通常是 ISP 会阻止您的原因,因为这对他们来说是一项简单的测试。他们会扫描其客户 IP 块并要求端口 25 上的任何内容中继测试消息,如果您这样做,则您是垃圾邮件发送者。可能没有人真正使用您的中继,但仅仅因为它的存在就足以被阻止。
要测试您是否是开放中继,请远程登录到您的邮件服务器并与其通信。粗体行是您输入的内容。
% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
554 5.7.1 <[email protected]>: Relay access denied
您输入的行是helo
、mail from:
和rcpt to:
行。确保您使用的地址不是本地地址,两者都必须是远程主机。如果您没有收到错误554 relay denied
,则说明您的垃圾邮件网关配置有误,理应被阻止。
解决此问题最简单的方法是要求通过 MTA 发送邮件时进行身份验证。设置此方法的详细信息取决于您正在运行的 MTA,而您的问题中未提供此详细信息。