Я получил сообщение о нарушении от операторов из dnsbl.de. Для меня это звучит так, как будто это не имеет никакого отношения ко мне, но, поскольку это слишком серьезно, я не хочу делать «догадки» и проверять, действительно ли это.

Что у меня есть

Вот отрывок почты, которая должна была пройти через мой сервер (IP-адреса заменены заполнителями):

Return-Path: <root@vicibox7.suse>
Received: from vicibox7.suse (static.12-34-56-78.example.tld [12.34.56.78] (may be forged))
    by topixx1.b2.powerweb.de (8.14.5/8.14.1) with ESMTP id 016KERQF029825
    for <XXX@XXX.XXX>;  Thu, 6 Feb 2020 21:14:28 +0100
Received: by vicibox7.suse (Postfix, from userid 0)
    id EBD62142B3FE; Wed,  4 Dec 2019 15:22:17 -0500 (EST)
Subject: Der Einweisungsprozess ist obligatorisch #DE1D22H11788Z9740018344514
X-PHP-Originating-Script: 0:eb.php

На данном сервере вообще не работает почтовый сервер. Так что об открытом шлюзе не может быть и речи. На самом деле на сервере нет ничего, что могло бы отправлять что-либо через порт 25. Я единственный человек, у которого есть доступ к машине (через SSH). Единственная услуга, предоставляемая общественности, - это веб-сервис, который я написал сам. Так что, если это письмо действительно прошло через мой сервер, это будет означать, что кто-то получил несанкционированный доступ, и это, конечно, будет означать, что мне нужно принять решительные меры, например, переустановить всю машину с нуля, потому что кто знает, что иначе это сделал злоумышленник?

Но действительно ли это письмо прошло через мой сервер? Вот пара вещей, которые я счел подозрительными:

• Получено: от vicibox7.suse , но мой сервер не называется vicibox7.suse . Даже не похоже. Однако IP-адрес после этого фактически мой. Поиск в Google названия приводит меня к VICIbox , который, кажется, относится к "VICIDIAL Call Center Suite", который является неизвестным мне программным обеспечением, также указывающим на сервер, который мне не принадлежит?
• В Получено -Заголовок, в котором указано «(может быть подделано)», поэтому, насколько я понимаю, это означает, что принимающий почтовый сервер не мог проверить, действительно ли почта пришла с указанного сервера, и все «получено» -Entry могут быть подделаны.
• Там написано X-PHP-Originating-Script: 0: eb.php ,так что, похоже, это указывает на то, что почта была сгенерирована каким-то PHP-скриптом. На моем сервере даже не установлен PHP.

Конечно, я проверил файлы журналов (/ var / log / *) своего сервера и не смог найти ничего необычного. Я также проверил статистику трафика, предоставленную оператором дата-центра. Обычно мой сервер производит около 1-2 ГБ исходящего трафика в день, так что в любом случае не очень много. Я ожидал, что кто-то, кто захватит мой сервер, отправит много электронных писем и, таким образом, вызовет значительно больше трафика. Однако никаких шипов не видно. Трафик нормальный.

Я проверил ps aux на наличие процессов, которых там не должно быть, и проверил netstat -a . Ничего такого, чего я бы не ожидал там увидеть.

Затем я использовал следующее, чтобы блокировать возможные попытки отправки почты через порт 25 и регистрировать их с помощью iptables:

iptables -N LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP
iptables -A OUTPUT -p tcp --destination-port 25 -j LOGGING

Я проверял, работает ли это, используя netcat google.com 25 , и это немедленно создает запись журнала в / var / log / syslog. Так что теоретически это работает. Я смотрел системный журнал в течение нескольких часов, но больше не выводил журнал из моего сценария iptables.

Что теперь?

Похоже, я не пострадал. Однако на веб-сайте dnsbl.de говорится: «Пожалуйста, убедитесь, что наша система блокирует только почтовый сервер, с которого мы получали спам от наших клиентов». Я надеюсь, что их программное обеспечение лучше, чем их грамматика ;-). В немецкой версии текста даже употреблено слово «доказано». Означают ли они на самом деле: «Пожалуйста, убедитесь, что наша система блокирует только те почтовые серверы, которые, как утверждается, прошли некоторые случайные электронные письма, независимо от того, откуда они на самом деле»? Сервис, который можно так легко обмануть, был бы бесполезен, не правда ли? Так что, возможно, я где-то ошибаюсь.

Так что я также проверил http://www.anti-abuse.org и 2 из 53 DNSBL-сервисов, перечисленных на этом сайте, также занесите в черный список мой IP-адрес ( ix.dnsbl.manitu.net и truncate.gbudb.net). Не уверен, хороший это знак или плохой.

Что вы об этом думаете? Может ли это злоупотребление быть реальным?