我收到了来自 dnsbl.de 运营商的一条滥用信息。在我看来,这似乎与我无关,但由于这太严重了,我不想做“猜测”并检查它是否真的与我有关。
我得到了什么
以下是应该通过我的服务器发送的邮件的摘录(IP 地址用占位符替换):
Return-Path: <[email protected]>
Received: from vicibox7.suse (static.12-34-56-78.example.tld [12.34.56.78] (may be forged))
by topixx1.b2.powerweb.de (8.14.5/8.14.1) with ESMTP id 016KERQF029825
for <[email protected]>; Thu, 6 Feb 2020 21:14:28 +0100
Received: by vicibox7.suse (Postfix, from userid 0)
id EBD62142B3FE; Wed, 4 Dec 2019 15:22:17 -0500 (EST)
Subject: Der Einweisungsprozess ist obligatorisch #DE1D22H11788Z9740018344514
X-PHP-Originating-Script: 0:eb.php
有问题的服务器根本没有运行邮件服务器。因此,开放网关是不可能的。实际上,服务器上根本没有任何东西可以通过端口 25 发送任何内容。我是唯一可以访问该机器的人(通过 SSH)。向公众提供的唯一服务是我自己编写的 Web 服务。因此,如果这封邮件确实通过了我的服务器,那么这将表明有人获得了未经授权的访问权限,这当然意味着我需要采取严厉措施,例如从头开始重新安装整个机器,因为谁知道攻击者还做了什么?
但是这封电子邮件真的通过了我的服务器吗?以下是我发现的几件可疑的事情:
Received: from vicibox7.suse,但我的服务器不叫vicibox7.suse。甚至不相似。但是后面的 IP 地址实际上是我的。谷歌搜索名称让我找到了VICI盒,似乎是指“VICIDIAL Call Center Suite”,这是一个我不知道的软件,还指代一个不是我的服务器?- 在
Received-Header 中列出了“(可能被伪造)”,据我所知,这意味着接收邮件服务器无法验证邮件是否真正来自列出的服务器,并且整个“收到的”条目可能是伪造的。 - 它显示
X-PHP-Originating-Script: 0:eb.php,因此它似乎表明该邮件是在某个地方由某个 PHP 脚本生成的。我的服务器甚至根本没有安装 PHP。
当然,我检查了服务器的日志文件 (/var/log/*),没有发现任何异常。我还检查了数据中心运营商提供的流量统计数据。通常我的服务器每天产生大约 1-2 GB 的传出流量,所以无论如何都不会太多。我预计劫持我服务器的人会发送大量电子邮件,从而导致更多的流量。但是没有看到峰值。流量很正常。
我检查了ps aux那些不应该存在的进程,并进行了检查netstat -a。没有我不希望出现在那里的进程。
然后我使用以下命令阻止可能使用端口 25 发送邮件的尝试并使用 iptables 记录它们:
iptables -N LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP
iptables -A OUTPUT -p tcp --destination-port 25 -j LOGGING
我使用并测试了它是否有效netcat google.com 25,这会立即在 /var/log/syslog 中创建一个日志条目。所以理论上它是有效的。我观察了 syslog 几个小时,但没有从我的 iptables-Script 中输出任何日志。
现在怎么办?
看起来我似乎没有受到影响。但是 dnsbl.de 网站上说“请确保我们的系统只拦截我们收到垃圾邮件的客户的邮件服务器。”。我希望他们的软件比语法更好 ;-)。在德语版的文本中,他们甚至使用了“已证实”这个词。他们真的是说“请确保我们的系统只拦截一些随机电子邮件声称已经通过的邮件服务器,无论它实际上来自哪里”吗?一项可以如此轻易被欺骗的服务将是相当无用的,不是吗?所以也许我在某些地方错了。
所以我也检查了http://www.anti-abuse.org该网站列出的 53 个 DNSBL 服务中,有 2 个也将我的 IP 地址列入黑名单(ix.dnsbl.manitu.net 和 truncate.gbudb.net)。不确定这是好兆头还是坏兆头。
您对此有何看法?这种虐待是真的吗?
答案1
我认为您的服务器已遭入侵,或者您的 Web 服务允许未经授权的个人发送邮件。我会审核您的代码并重建服务器。
第一个Received:标头包含您的 IP,这让我很担心。第二个标头可能是假的。
topixx1.b2.powerweb.de 实际上是一个邮件中继。
至于为什么您的 IP 会出现在某些 DNSBL 上:也许您的服务器已经发送了其他垃圾邮件,或者在您使用您的 IP 发送垃圾邮件之前有人拥有您的 IP。