Sendmail Impazzito !!!

[cagnaluia]

Guardate...

è la pagina "Mail Queue" di Sendmail... è piena di quella robaccia la... e si aggiunge ad un ritmo preoccupante... ne ho migliaia.. decine di migliaia al giorno!

Devo fermare Sendmail...



Cosa che abbia.. sembra che spammi da solo!

[PiloZ]

http://xx.xxx.xx.xx:10000 fico

You must enter a username and password to login to the Webmin

imho la butto li, hai il server smtp con il relaying messo a 90

notare @mailasia.com

[cagnaluia]

Quote:

Originariamente inviato da PiloZ

http://xx.xxx.xx.xx:10000 fico

You must enter a username and password to login to the Webmin

imho la butto li, hai il server smtp con il relaying messo a 90

notare @mailasia.com

[cagnaluia]

hmm... mi spieghi un pò cosa succede, secondo te?!

[PiloZ]

non uso sendmail
hai un server smtp di norma attivo sulla macchina?

[kingv]

Quote:

Originariamente inviato da cagnaluia

hmm... mi spieghi un pò cosa succede, secondo te?!

che qualche simpatico spammer sta usando il tuo sendmail come relay inondarci di "enlarge your penis"....

[PiloZ]

Quote:

Originariamente inviato da kingv

che qualche simpatico spammer sta usando il tuo sendmail come relay inondarci di "enlarge your penis"....

ora siamo in due a pensarla allo stesso modo

lo dicevo io

[drwho2107]

Che il tuo PC e' pieno di buchi!
Che qualcuno ti ha fatto visita e si trova molto bene....
Che distro hai ? (non azzardarti a dirmi FreeBSD altrimenti ti brucio).
^^^^ (ops, intendevo dire che 'sistema operativo' usi?)
Se hai un IP dinamico, disconettiti immediatamente.
Disattiva Sendmail, attiva un firewall (se possibile un pc esterno a quello in questione), chiudi tutto non solo in entrata, ma SOPRATTUTTO in uscita e apri di volta in volta quello che ti serve (esempio porta 80 per navigazione, etc)...
A parte questo, io controllerei se il tipo ha installato qualche script per permettergli di entrare tramite qualche porta alta (sopra la 1024) o qualche rootkit particolare.
Se non sai come fare almeno controlla se ci sono nuovi file in qualche cartelal di sistema (fai una ricerca con 'find' e opzioni di tempo / man find)....
E poi da li vedi se ti conviene arare via tutto (aka formattare) oppure ripulire.... anche se in casi del genere.... io preferisco SEMPRE la prima!

[PiloZ]

trascuri la sicurezza, non pensavi che persino l'ip in chiaro sull'immagine non è cosa sana e genuina?

[cagnaluia]

c'è un firewall hardware a monte.

Il server è un IBM con preinstallato RedHat 8.

E' un IP pubblico, abbonato interbusiness.

Non ci metto mai mano io.. a parte creare nuovi utenti e gli account di posta.

Port Scanning host: xxx.xxx.xxx.xxx

Open TCP Port: 21 ftp
Open TCP Port: 23 telnet
Open TCP Port: 25 smtp
Open TCP Port: 80 http
Open TCP Port: 110 pop3
Open TCP Port: 111 sunrpc
Open TCP Port: 1812 radius
Open TCP Port: 8443 pcsync-https
Open TCP Port: 10000 ndmp

per adesso nn vedo altre porte aperte.. scannandolo

C'è un altro problema riguardo sendmail.
Lavora insieme con l'antivisur ServerProtect di TrendMicro... su init.d, vedo che il servizio sendmail è solo un link ad un programma nella cartella di trendmicro... e nn ho capito una cippa di come funziona la storia.

[cagnaluia]

Quote:

Originariamente inviato da PiloZ

trascuri la sicurezza, non pensavi che persino l'ip in chiaro sull'immagine non è cosa sana e genuina?

infatti lho scancellata

[drwho2107]

Quote:

Originariamente inviato da cagnaluia

c'è un firewall hardware a monte.

Il server è un IBM con preinstallato RedHat 8.

E' un IP pubblico, abbonato interbusiness.

Non ci metto mai mano io.. a parte creare nuovi utenti e gli account di posta.

Port Scanning host: xxx.xxx.xxx.xxx

Open TCP Port: 21 ftp
Open TCP Port: 23 telnet
Open TCP Port: 25 smtp
Open TCP Port: 80 http
Open TCP Port: 110 pop3
Open TCP Port: 111 sunrpc
Open TCP Port: 1812 radius
Open TCP Port: 8443 pcsync-https
Open TCP Port: 10000 ndmp

per adesso nn vedo altre porte aperte.. scannandolo

C'è un altro problema riguardo sendmail.
Lavora insieme con l'antivisur ServerProtect di TrendMicro... su init.d, vedo che il servizio sendmail è solo un link ad un programma nella cartella di trendmicro... e nn ho capito una cippa di come funziona la storia.

La scansione l'hai fatto da uno dei client interni, altrimenti mi incazzerei come una bestia se avessi sul firewall le porte 25/110 aperte.
Fare una scansione di un server dall'interno dietro ad un firewall e' come fare un buco nell'acqua (serve meno di zero).
E' ovvio che un mail server deve avere la porta 25 in ascolto, ma, la deve avere solo per la rete interna (parlo di server aziendali), e non raggiungibili dall'esterno.
Qualora invece volessi consentire ad utenti esterni di usare il tuo server per inviare la posta, devi limitarne il relay selezionando quali user/ip/... autorizzare...
Mi sembra che se qualcuno e' entrato, ti ha piallato la configurazione di sendmail, aprendo il relay host a tutto....
Controlla se sul firewall hai le porte 25/110 aperte e parti da li!

[cagnaluia]

dall'interno mi serve per capire cosa è o meno aperto sul server.

dall'esterno l'nmap -P0, mi dice che ha scannato 1663 porte sull'IP xxx.xxx.xxx.xxx: filtered!

non mi ritorna nient altro.

[drwho2107]

Quote:

Originariamente inviato da cagnaluia

dall'interno mi serve per capire cosa è o meno aperto sul server.

dall'esterno l'nmap -P0, mi dice che ha scannato 1663 porte sull'IP xxx.xxx.xxx.xxx: filtered!

non mi ritorna nient altro.

Prova in sequenza i seguenti...

'nmap -A -T5 xxx.xxx.xxx.xxx'
'nmap -sS -O -T5 xxx.xxx.xxx.xxx'
'nmap -sF -T5 xxx.xxx.xxx.xxx'
'nmap -sW -T4 xxx.xxx.xxx.xxx'

e vedi cosa ti ritorna e posta qui per ognuno!
Ovviamente fallo dall'esterno!


Facendotela breve 3 consigli :

(1) se non hai idea di dove mettere le mani, o se non sai COME mettere le mani dove c'e' da riparare, FALLO FARE A QUALCUNO CHE SA FARLO, altrimenti rischi di fare + danni! (Mai visto una donna tentare di riparare una automobile)?

(2) Se il tuo firewall ha chiuso tutte le porte in entrata, non significa che sia chiuso in uscita (infatti se navighi, vuol dire che ha tutto, o quasi, aperto anche in uscita, tipica configurazione di default dei firewall hardware).
E' anche possibile (probabile) che nessuno sia realmente entrato nel tuo server (almeno NON direttamente 'spaccando' attraverso il firewall), ma semplicemente uno dei client ha un qualche worm/trojan che invia dati/email attraverso il mail server di default (che e' appunto il server in questione).

Tira giu' (kill) sendmail, disattivalo (se non ricordo male in RH8 dovrebbe essere il comando 'chkconfig' + qualcosa) e bypassa il mailserver nella configurazione dei client (prova almeno con 4/5 client).
Attento : DISATTIVA, non fare ELIMINA, altrimenti poi se scopri che il problema non e' il server, ma uno dei client, devi reinstallare il servizio di SENDMAIL. (per sicurezza 'man chkconfig' prima di tutto)

Esempio: cambia 192.168.0.1 (esempio di indirizzo IP del mail server in questione) in 'mail......' (smtp del tuo internet provider) su ogni PC client (immagino windows).
Vai sul firewall e chiudi tutte le porte in USCITA e abilita solo la 25!
Attiva log-debug del firewall su 9 (o comunque aumento il 'verbose' dei log al massimo (se ti e' permesso) e controlla i log relativi alla porta 25 (interno -> esterno). Chiudi qualsiasi MUA su ognuno dei client e stai a vedere se hai pacchetti in uscita sulla porta 25.
Ripeti l'operazione per tutti i pc della rete (client).
Ora, se hai ancora pacchetti in uscita sulla porta 25, il problema e' nei client, se nessuno dei client invia pacchetti sulla porta 25 del firewall (per raggiungere il server smtp remoto), vuol dire che il problema e' nel server.

Ti ho fatto disabilitare sendmail sul server, in quanto, nel caso che sia effettivamente sendmail ad essere il colpevole in quanto compromesso da qualcuno, sicuramente quel qualcuno ha usato un root-kit con relativo script per controllare se sendmail sia 'off', nel qualcaso, lo stesso script ha il compito di riattivare sendmail (o qualsiasi altro default MTA installato) per permettere l'invio di spam.

La cosa strana, che mi fa pensare sia uno dei client ad essere compromesso, e' il fatto che quando si attacca una macchina, e si lascia il default MTA per l'invio di spam, di solito la prima cosa da fare e' 'piallare' la configurazione del MTA. (Esempio in POSTFIX, basta cambiare la stringa in 'main.cf' alla voce relayhost...' per permettere di aprire l'host a qualunque relay).
Dalla tua prima schermata invece, vedo che sendmail ha problemi a risolvere determinati host, quindi potrebbe essere che la configurazione non sia stata cambiata, ma ripeto, non essendo sulla macchina, non posso controllare di persona....
(e' anche possibile, che sia stato aperto il relay di sendmail come autorizzazione a qualsiasi mittente ad inviare posta, ma che non sia stato cambiato il relayhost gateway, che potrebbe essere il tuo ISP)

(3) se davvero vuoi sapere cosa fare, leggiti bene la maggior quantita' possibilie di documentazione su:
-TCP/IP ('TPC/IP Illustrated' e' considerato la Bibbia)
-NETWORKING (LAN/WAN/etc)
-FIREWALL/NAT/etc

PS: ovviamente ognuno dei client ha un suo firewall, vero ?????????????
Non e' che vi appoggiate ad un unico firewall tra ISP e LAN vero ???????
Anche se puo' sembrare superfluo, la sicurezza non e' mai abbastanza, soprattutto visti i buchi di windows!

Ciao

[cagnaluia]

Sempre grazie, per quello che fai.

nel frattempo una sola informazione:

I client della rete sono configurati con quel server solo per POP3 (per scaricare la posta) nient altro.
Il servizio SMTP è locale, solo per chi dovesse usare WebMail.
Sui client della rete, smtp è mail.cs.interbusiness.it (esterno, di telecom).

[drwho2107]

Quote:

Originariamente inviato da cagnaluia

Sempre grazie, per quello che fai.

nel frattempo una sola informazione:

I client della rete sono configurati con quel server solo per POP3 (per scaricare la posta) nient altro.
Il servizio SMTP è locale, solo per chi dovesse usare WebMail.
Sui client della rete, smtp è mail.cs.interbusiness.it (esterno, di telecom).

Se allora nessun client ha nelle configurazioni l'SMPT del server (intendo dire anche inserito/ma non utilizzato), se proprio nessun client ha mai usato prima quel server come relay SMTP, ma sempre direttamente all'esterno, allora.... penso proprio che hai avuto visite al server!

Fai come se fosse un ladro a casa tua....
Chiudi tutte le porte/finestre (per non permettere a complici di entrare/lui di uscire nuovamente) e passa camera per camera!
Stacca comunque la macchina da Internet immediatamente (ovviamente)!