奇怪的 CBL 黑名单(cutwail 垃圾邮件机器人?!)

奇怪的 CBL 黑名单(cutwail 垃圾邮件机器人?!)

我遇到了一个奇怪的问题,想知道是否有人可以帮助我,因为我真的不知道还能做什么。

我正在为一家 SMB 公司(约 100 台 LAN 计算机)管理一台 Linux 服务器(Fedora 17)。该服务器处理电子邮件(Postfix)、DNS、Web、FTP、SQL 等。

简而言之,问题开始于两天前,当时我注意到我们被列入了 cbl.abuseat.org 的黑名单。我很惊讶,因为我在 8 年多的时间里为许多大中型公司管理过许多服务器,所以我以为自己对电子邮件安全有所了解……显然我错了。

首先,有几个细节:电子邮件服务器的 IP 有一个 PTR(RDNS)记录,我已经配置了 SPF、DomainKeys、DKIM、DMARC、灰名单。LAN 内的所有计算机都阻止了端口 25 和 53(TCP/UDP),并且日志记录已激活。当我检查日志时,什么也没有。LAN 内没有计算机尝试发送电子邮件。但后来我检查了 CBL,他们的消息是这样的:

此 IP 已感染 () cutwail 垃圾邮件机器人。换句话说,它正在参与僵尸网络。我们有两种检测 cutwail 的方法。其中一种方法是检测 cutwail 发送的垃圾邮件。另一种方法不起作用。这意味着,即使您在本地网络上阻止来自非邮件服务器的出站端口 25,我们仍然可以检测到本地网络上的 cutwail 感染。这意味着,如果您实施端口 25 限制,则应实施日志记录,以便您可以检测到哪些内部机器被它阻止,从而可能感染了 cutwail。

所以……让我说清楚:即使受感染的计算机无法发送伪造的电子邮件,我的 IP 仍会被列入黑名单?好吧,一开始我非常生气,但是,由于还有几个公共 IP,我立即将整个 LAN NAT 到一个完全不同的公共 IP 上,只是为了清除第一个 IP,这样我就有更多时间进行调查。正如预期的那样,第二个 IP 在几分钟内就被列入了黑名单,我也将第一个 IP 从黑名单中删除了。假设 88.88.88.88 是第一个 IP,88.88.88.89 是第二个 IP。所以现在我在 iptables 中的 POSTROUTING 看起来像这样:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.11.0/24 -j SNAT --to-source 88.88.88.89

所以,你会认为第一个 IP(也被列为 MX)现在应该是安全的,对吗?错了……3 小时后,第一个 IP 再次被列出,尽管就像我说的,现在整个 LAN 都通过第二个 IP 进行 NAT。我开始认为服务器已被入侵,但经过彻底检查(tripwire、wireshark、netstat 等),我排除了这种可能性。我还尝试在 12 小时后再次删除 IP,但几个小时后它又重新被列出。哦,我忘了补充一点,我们还扫描了 LAN 内的几台计算机(我们认为可疑的计算机),但我们使用 3 种不同的防病毒软件产品没有发现感染。有人知道是什么原因造成的吗,因为我真的不知道还能尝试什么。谢谢!

答案1

问题已经解决。事实上,网络内有一台计算机发出了奇怪的 http/dns 请求,在运行了几个 AV 程序后,发现并删除了两个木马,然后黑名单停止了。我假设第一个 IP(也是主 DNS 服务器)继续被列入黑名单,是因为对全球各个 IP 发出了奇怪的 DNS 请求。

相关内容