CBL 和 Spamhaus ZEN 上的虚假 IP 黑名单

CBL 和 Spamhaus ZEN 上的虚假 IP 黑名单

我经历过这样的事情:Spamhaus XBL 不断添加我的 IP

我正在使用 Postfix 管理 Ubuntu 上的服务器 23.239.30.81。

从大约六个月前开始,我开始转发所有:

  • Cron Daemon 日志
  • Postfix SMTP 错误
  • Drupal 网站错误日志
  • 订阅电子邮件等的副本

发送到我的一个 hotmail 邮箱。

但两周前它被列入了 Spamhaus ZEN 和 CBL 黑名单。但现在我已将电子邮件从 hotmail 更改为一个私人管理的 MS Exchange 邮件服务器。

但三天后它仍被重新列入黑名单。

一年前,我还使用 cron 脚本设置了电子邮件监控普罗格苏姆如果每天发送的电子邮件超过 300 封,它会通知我。但实际上并没有那么多,刚才我在晚上 6:30 检查了一下,只看到 93 封

[email protected]现在我在 Postfix 中添加了“ ” main.cf,这样我就可以看到从该服务器发出的所有电子邮件。以下是这些电子邮件的快照

没有任何垃圾邮件..我可以看到那些(除上述之外)是:

  • 联系我们 留言
  • 论坛回复
  • 帐户激活电子邮件
  • Mysql 数据库备份
  • 广告报道等

我正在将电子邮件转发到私人电子邮件服务器,Spamhaus ZEN 和 CBL 怎么可以看到这些电子邮件(论坛订阅和回复除外)并再次将此 IP 列入黑名单?

我已经向 cbl[@]abuseat.org 发送了电子邮件,但我只收到了看似自动的回复,要求检查系统是否有病毒等。

我也使用 clamAV 防病毒软件运行该系统。

所有论坛回复和订阅及激活邮件都包含取消订阅信息。但是错误日志却没有。

我可能错过了什么?

更新:我已限制电子邮件仅通过 Postfix 发送:防火墙规则仅允许 Postfix 通过端口 25 上的 SMTP 发送电子邮件我确实有所有电子邮件的副本并且没有一个是垃圾邮件。然而,大约 15 小时后,它已重新列出第四次。

今天(12月8日)我收到了CBL的回复:

IP 23.239.30.81 感染了垃圾软件,最近检测到的感染地点为:

2015:12:04 ~14:30 UTC+/- 15 分钟(约 3 天 3 小时 59 分钟前)

该主机 HELOed 作为 [127.0.0.1]...请更正。

答案1

我强烈建议您再次浏览 CBL 和 Spamhuas 网站,因为它们提供了您开始排除故障和保护服务器所需的所有信息。那里的信息可以帮助您了解黑名单流程如何运作,为什么会被列入黑名单,以及如何保持服务器安全以避免被列入黑名单的建议

我只引用 CBL 中的几个重要部分,其余部分你可以自己查看。重点是,由于您一次又一次被列入名单,您的服务器很可能已被入侵,而且这与您的后缀无关。现在您需要调查并找出可能的原因。它可能是一个 rootkit、木马、垃圾邮件机器人或只是另一个恶意脚本。您需要对系统进行全面扫描以查找可能的问题。一旦找到真正的原因,您就可以解决问题并采取必要的措施避免再次发生。

以下是来自 CBL 的内容:

是什么加拿大血统

CBL 从大型邮件服务器 (SMTP) 安装中获取源数据。其中一些是纯粹的垃圾邮件陷阱服务器,而有些则不是。

CBL 仅列出表现出特定于各种开放代理(HTTP、socks、AnalogX、wingate、Bagle 回调代理等)和专用垃圾邮件机器人(如 Cutwail、Rustock、Lethic、Kelihos 等)的特征的 IP,这些 IP 被滥用来发送垃圾邮件、自行进行直接邮件传输的蠕虫/病毒、或某些类型的特洛伊木马或“隐形”垃圾邮件软件、字典邮件收集器等。

我正在运行 Linux(FreeBSD、OpenBSD、UNIX……),并且不会被感染 有病毒!

虽然 UNIX 类操作系统几乎从不感染 Windows 病毒,但 UNIX 类系统很容易感染许多类似病毒的病毒。例如:

  • Windows 仿真软件(例如:VMWARE 或 Wine)与原生 Windows 一样容易受到感染。事实上,Windows 仿真器实例被感染的可能性可能更大,因为它在另一个操作系统下运行这一事实会让人产生虚假的安全感,而且仿真器实例不太可能受到完整防病毒套件的保护。
  • 开放代理(例如不安全的 Squid 配置)导致开放代理垃圾邮件。
  • Web 服务器漏洞或入侵。例如,DarkMailer/DirectMailer 木马通过 FTP(使用入侵用户的用户 ID/密码)注入 Web 服务器,然后用于发送大量垃圾邮件。如果允许从 Internet 上传内容,几乎所有 Web 服务器都容易受到此攻击。
  • 应用程序漏洞:许多应用程序都存在安全漏洞,尤其是与 Web 服务器上的 PHP 相关的应用程序。例如:旧版本的 Wordpress、PHPNuke、Mamba 等。其中一些漏洞的严重程度是,犯罪分子可以在您的机器上安装完整的代理/木马垃圾邮件引擎并远程控制它。通过这种方式,他们可以设置垃圾邮件引擎、开放代理、恶意软件下载和垃圾邮件重定向器。注意创建的奇怪目录,尤其是 /tmp 中以“.”开头的目录。通过在 /tmp 中执行“ls -la”来检查此问题,并查找以“.”开头的目录名(除了“.”和“..”本身)。

用于故障排除和保护

  • 至关重要的是,所有面向 Web 的应用程序或应用程序基础设施(Wordpress、Joomla、Cpanel 等)都应保持已全面修复并保持最新状态. 此外,用户名/密码和其他登录此类系统的凭证应该高度 受保护,要求使用强密码并尽可能频繁地更改。

  • 这样的站点应该考虑对 web、ftp 和其他子系统进行持续监控。

  • Rootkit是指恶意实体在您的计算机上安装了软件,并将其隐藏起来,使正常的系统实用程序无法找到它。在某些情况下,他们会用不会显示其踪迹的黑客版本替换正常的系统实用程序。

  • 检查您是否拥有良好的远程登录密码(例如:远程登录FTPSSH),检查日志中是否存在大量失败的/SSH/telnet 登录尝试。

  • 考虑运行“系统修改”检测器,例如绊线或者 亨特。Tripwire 旨在检测和报告对重要系统程序的修改。Rkhunter 的功能与 Tripwire 相同,但会查找特定的 rootkit、不安全的系统软件版本等。并非所有病毒都是 Windows 二进制文件。某些病毒/蠕虫位于使用非二进制编程技术(如宏病毒、Java、PHP 或 Perl)的应用程序级文件中。这些病毒/蠕虫可能真正具有跨平台传染性。

有关 CBL 中的 MailServer 的更多信息:CBL 中的邮件服务器

来自 Spamhuas:

什么是“代理劫持”?我需要了解有关代理的哪些信息?

什么是“蜜罐”或“代理罐”?什么是“代理劫持源”或“C&C”?

答案2

我来晚了,但是:

  1. 您不再位于 Spamhaus 列表中。
  2. CBL 已将您移除,但解释道:

IP 地址 23.239.30.81 未在 CBL 中列出。

它之前曾被列出,但于 2015-12-07 18:46 GMT(1 天,5 小时,1 分钟前)被删除。删除时,这是对此列表的解释:

此 IP 已感染(或对已感染的计算机进行 NAT)。换句话说,它正在参与僵尸网络。

如果您只是删除列表而不确保感染已被清除(或 NAT 已保护),它可能会再次重新列出。

我们遇到这种情况是因为客户将一台受感染的笔记本电脑带入了我们的网络。客户网络与我们的主网络是隔离的,但它仍然通过与我们的常规流量(包括我们的邮件服务器)相同的 IP 进行 NAT。

看起来您正在使用共享主机。如果您共享 IP,则可能其他主机之一实际上是受感染的主机。如果是这样,则可能需要主机支持。但好消息是您不再在任何一个列表中。

答案3

如果您使用的是 CBL,那么这可能不是您的 Postfix 的问题。CBL 不会列出开放中继 MTA,而是列出“垃圾邮件代理”服务器。后者通常来自利用某些安全漏洞上传的 Web 脚本或其他程序。

由于这是一个 LAMP 堆栈,我将首先检查是否存在 PHP 后门脚本。检查您的数据目录是否包含任何脚本文件,这些目录可以由 PHP(或其他脚本引擎,如果有)写入。通常,只有 PHP Web 应用程序的选定目录才应由 root 用户以外的用户写入,请确保已按此方式配置。在 Web 服务器级别,使数据目录仅提供具有安全扩展名的文件(图像、文档等,绝不任何脚本)。刷新(或者,如果可能,升级)您的 Web 应用程序脚本文件。

像保护 25/TCP 端口一样保护 465/TCP 端口也不会有什么坏处。

答案4

@Katherine-vilyard 向您提供了非常具体的信息(来自 CBL),说明为什么您的服务器被识别为发送垃圾邮件:由于感染了 kelihos 垃圾邮件机器人,它被识别为发送垃圾邮件。

您说您已用防火墙封锁了传出端口 25,因此只有 postfix 可以使用它。除非您向我们提供输出,否则我们无法检查这是否正确。也许sudo iptables -L -v您犯了一个错误,或者邮件实际上是通过 postfix 传递的。也许您的系统上有一个垃圾邮件机器人,它在您的服务器上拥有足够的权限来规避这种情况。例如,通过以 postfix 身份运行。也许您正在中继垃圾邮件,而不是充当垃圾邮件的来源。听起来您已经意识到了转发垃圾邮件的问题,并且正在留意这个问题。

听起来您可能能够限制通过端口 25 进行连接的目标主机?如果可能的话,请这样做。

如果邮件通过 postfix 发送,使用您通常的配置,它将被记录下来。您有一个非常具体的时间戳要查看(来自 CBL)。您应该着手查找该电子邮件,或者至少从邮件日志中获取有关它的所有信息。关于它的信息HELO 127.0.0.1应该是一个重要的线索 - 您的 postfix 服务器通常这样做吗?如果不是,那么邮件很可能没有通过您的 postfix 服务器。我猜是这样的。

您不应认为您的 postfix 服务器记录其外发邮件就足够了。捕获端口 25 上的所有流量,tcpdump -i any -w dumpfile port 25然后检查一下怎么样?查看 CBL 识别的时间戳会很有用。查找到意外目的地的邮件连接。将连接时间与您在日志中看到的时间戳进行比较。(是的,我知道我忽略了如何处理转储文件的细节。Wireshark 可能有用,ngrep 也一样)。

据我所知,Kelihos 会感染 Windows PC。这意味着您的服务器充当某种中继器而不是源。您是否通过它运行 VPN?您是否使用它来中继您自己的外发邮件?您确定它不能被任何其他主机用作中继器吗?

相关内容