스패머가 postfix/doveco를 통한 공격을 차단합니다.

tag-icon tag-icon postfix malware
스패머가 postfix/doveco를 통한 공격을 차단합니다.

어떻게든 손상된 postfix/dovecot가 있는 서버가 있습니다. 나는 종종 다음과 같은 로그를 많이 봅니다(도메인 이름을 example.com으로 바꿈).

Jul  2 10:03:03 my-server postfix/pickup[14702]: 878D313894B: uid=33 from=<www-data>
Jul  2 10:03:03 my-server postfix/cleanup[14916]: 878D313894B: message-id=<[email protected]>
Jul  2 10:03:03 my-server postfix/qmgr[19570]: 878D313894B: from=<[email protected]>, size=40324, nrcpt=1 (queue active)
Jul  2 10:03:05 my-server postfix/smtp[14923]: 878D313894B: to=<[email protected]>, relay=hotmail-com.olc.protection.outlook.com[104.47.42.33]:25, delay=2.1, delays=0.03/0.03/1.1/0.93, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> [InternalId=11360188501262, Hostname=BY2NAM03HT083.eop-NAM03.prod.protection.outlook.com] 45866 bytes in 0.498, 89.854 KB/sec Queued mail for delivery)
Jul  2 10:03:05 my-server postfix/qmgr[19570]: 878D313894B: removed


Jul  2 10:03:03 my-server postfix/pickup[14702]: 97D4E138950: uid=33 from=<www-data>
Jul  2 10:03:03 my-server postfix/cleanup[14916]: 97D4E138950: message-id=<[email protected]>
Jul  2 10:03:03 my-server postfix/qmgr[19570]: 97D4E138950: from=<[email protected]>, size=40308, nrcpt=1 (queue active)
Jul  2 10:03:03 my-server postfix/smtp[14933]: 97D4E138950: to=<a@a>, relay=none, delay=0.14, delays=0.01/0.02/0.11/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=a type=AAAA: Host not found)
Jul  2 10:03:03 my-server postfix/bounce[14935]: 97D4E138950: sender non-delivery notification: B9416138951
Jul  2 10:03:03 my-server postfix/qmgr[19570]: 97D4E138950: removed


Jul  2 10:03:03 my-server postfix/cleanup[14916]: A6851138951: message-id=<[email protected]>
Jul  2 10:03:03 my-server postfix/qmgr[19570]: A6851138951: from=<>, size=42121, nrcpt=1 (queue active)
Jul  2 10:03:03 my-server postfix/bounce[14935]: 9C33113894C: sender non-delivery notification: A6851138951
Jul  2 10:03:03 my-server dovecot: lmtp([email protected]): mNzcKTfcOVtZOgAAruHjSQ: msgid=<[email protected]>: saved mail to INBOX
Jul  2 10:03:03 my-server postfix/lmtp[14936]: A6851138951: to=<[email protected]>, orig_to=<[email protected]>, relay=example.com[private/dovecot-lmtp], delay=0.03, delays=0/0.01/0.01/0.01, dsn=2.0.0, status=sent (250 2.0.0 <[email protected]> mNzcKTfcOVtZOgAAruHjSQ Saved)
Jul  2 10:03:03 my-server postfix/qmgr[19570]: A6851138951: removed

이러한 유형의 공격을 피하기 위해 다음 규칙으로 postfix를 구성해 보았으며 공격 규모가 진정되었지만 서버는 여전히 많은 활동을 받고 있습니다.

/etc/postfix/main.cf:

#################################################################
# ANTI SPAM: https://www.howtoforge.com/virtual_postfix_antispam
#################################################################
smtpd_helo_required     = yes
strict_rfc821_envelopes = yes
disable_vrfy_command = yes
unknown_address_reject_code  = 554
unknown_hostname_reject_code = 554
unknown_client_reject_code   = 554

smtpd_sender_restrictions = reject_unknown_address

smtpd_helo_restrictions =
    permit_mynetworks,
    reject_invalid_hostname,
    regexp:/etc/postfix/antispam/helo.regexp,
    permit
#smtpd_recipient_restrictions =
#        permit_sasl_authenticated,
#        permit_mynetworks,
#        reject_unauth_destination
smtpd_recipient_restrictions = 
   check_client_access hash:/etc/postfix/antispam/helo_client_exceptions
#   check_sender_access hash:/etc/postfix/antispam/sender_checks,
   reject_invalid_hostname,
### Can cause issues with Auth SMTP, so be weary!
   reject_non_fqdn_hostname,
##################################
   reject_non_fqdn_sender,
   reject_non_fqdn_recipient,
   reject_unknown_sender_domain,
   reject_unknown_recipient_domain,
   permit_mynetworks,
   reject_unauth_destination,
# Add RBL exceptions here, when changing rbl_client_exceptions, this file must be regenerated using postmap <file>, to generate a Berkeley DB
          check_client_access hash:/etc/postfix/antispam/rbl_client_exceptions,
          reject_rbl_client cbl.abuseat.org,
#          reject_rbl_client zen.spamhaus.org,
          reject_rbl_client bl.spamcop.net, 
#          reject_rbl_client list.dsbl.org 
          reject_rhsbl_sender dsn.rfc-ignorant.org,
#         check_policy_service inet:127.0.0.1:60000,
         permit 

smtpd_relay_restrictions =
    permit_mynetworks,
#   permit_sasl_authenticated,
    defer_unauth_destination

이 서버가 어떤 식으로든 사람들에게 스팸을 보내는 데 사용되어 사람들을 짜증나게 하고 내 IP의 평판을 손상시키지 않을까 걱정됩니다.

인터넷에서 조사하고 문서를 읽는 데 많은 시간을 보냈지만 여전히 무슨 일이 일어나고 있고 어떻게 중지해야 하는지 혼란스럽습니다. 공격자가 이 서버를 어떻게 이용하고 있으며, 공격을 저지할 수 있는 방법이 무엇인지 알고 싶습니다.

관련이 있는지는 확실하지 않지만 오늘 호스팅 제공업체로부터 비정상적인 활동을 감지하여 서버를 일시 중지했다는 이메일을 받았습니다(오늘 두 번, 15일 전에 두 번).

Attack detail : 173Kpps/38Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason               
2018.07.02 16:35:04 CEST   xx.xx.xx.xx:41403      78.46.61.106:80         UDP      ---            29 ATTACK:UDP

TCP 22, 80, 443, 25, 587, 993, 995, 465를 제외한 모든 포트를 닫았으므로 이제 나가는 UDP가 차단될 것으로 예상됩니다. 이 활동을 유발하는 일부 악성 코드가 서버 내부에 설치되어 있는지, 그리고 이를 감지하는 방법은 확실하지 않습니다.

관련 정보