Хакнутые истории. Часть 2. Охотники за спамерами

Помимо своей копирайтерской деятельности в интернете я администрирую серверы своих друзей и частенько решаю проблемы, появившиеся на их сетевых машинах. Одним апрельским вечером, когда мой мозг уже отходил ко сну, один из моих друзей и по совместительству заказчиков (Dmitry A привет!) подкинул мне новую задачку, решение которой затянулось на пару дней. Если бы не поиски «крота» на сервере, то я продолжал бы скучать в преддверии майских праздников. В админе проснулись инстинкты охотника, доброго охотника за спамерами. 


Началось все с простого сообщения в скайпе:

[29.04.2016 21:25:22] Dmitry A: Нами было обнаружено, что с Вашего сервера рассылается спам. Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему. <тут много бла бла бла>
Заголовки и текст одного из писем Вы можете увидеть ниже:
Received: from fendirtoon.co.ua (mail.fendirtoon.co.ua [85.25.152.33])
by домен.ru (Postfix) with ESMTP id 0B6B7625BD
for <info@домен.ru>; Tue, 26 Apr 2016 02:43:50 +0400 (MSK)
Received: from fendirtoon.co.ua (unknown [31.148.99.16])
by fendirtoon.co.ua (Postfix) with ESMTPA id 9A9C6541074;
Mon, 25 Apr 2016 23:16:57 +0300 (EEST)
Message-ID: <2a0501d19f48$93deaa00$ac8770e0@ovfamxq>
From: «Fishhungry» <ovfamxq@fendirtoon.co.ua>
To: <oxana@thaivillas.ru>
Subject: =?windows-1251?B?wOry6OLg8u7wIOrr5eLgIPD74fs=?=
Date: Mon, 25 Apr 2016 23:17:03 +0300
MIME-Version: 1.0
Content-Type: multipart/related;
type=»multipart/alternative»;
boundary=»—-=_NextPart_000_0018_01D19F47.DF8031F0″
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
Активатор клева с доказанным эффектом!

Так как админ имеет свойство спать в промежутке между 20 и 22 часами вечера, SMS от друга я пропустил. В это время саппорт хоста успел очистить почту и сообщить ему, что все закончилось. Но, увы, судя по логам, спам-рассылка еще продолжалась…

Если бы не большое количество спамных писем, сгенерированных постфиксом, мы бы и не узнали, что сервер используется как опенрелей. На протяжении месяца на вымышленный почтовый ящик приходили запросы, сервер их обрабатывал и отсылал обратно ответ о несуществующем письме на указанный в письме емайл. В общем, после долгих мытарств и ухищрений (правкой конфига Postfix) удалось остановить рассылку спама. Правда перед этим пришлось изучить тонны логов, просканировать кучу портов и многое другое.

Первое, что нужно сделать в данной ситуации, это проверить очередь сообщений postfix`а. Откройте терминал (putty), зайдите под рутом и выполните команду mailq. Если выдало сообщение «Mail queue is empty», значит, очередь пуста. В противном случае тормозим работу postfix командой service postfix stop и очищаем очередь postsuper -d ALL. После чего останется только перезапустить почтовый агент командой service postfix start.

Увы, конфигурацию Postfix на сервере друга настраивал не я, какие упущения были допущены при инсталляции, мне неизвестны. Вследствие чего, если вы кого-то допускаете к установке софта, будьте уверены в его навыках, иначе ваш сервер попадет в очередную спамботную сеть. Но, даже не имея сервера, можно попасть под раздачу хакеров. О хакнутой истории в поисках курдского хакера вам поведает следующая статья

1 Comment

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *