ISP zablokował port 25 z powodu spamowania

20

Główne pytanie:

Czy w ogóle możliwe jest zarażenie się oprogramowaniem do botowania / spamowania na Ubuntu (lub innej dystrybucji)?

Detale:

Mój dostawca usług internetowych zablokował mój port 25 (i 465) dla połączeń wychodzących ( połączenia wychodzące, z domu do zdalnego serwera) do SMTP, więc nie mogę teraz używać biznesowych e-maili z domu. Powód, dla którego mnie blokują, brzmi: „z powodu wysyłania spamu”, czego nie jestem, i powiedzieli mi, że jeśli nie wysyłam, prawdopodobnie mój system operacyjny jest zainfekowany ...

Mógłbym użyć kompleksowej listy narzędzi i przewodników, aby sprawdzić system ( Ubuntu 13.10 14.04 64bit ) pod kątem wszelkich infekcji / złośliwego oprogramowania / rootkitów.

PS

  • Mam również zainstalowany system Windows 8.1 (64-bitowy) tylko dlatego, że lubię grać na komputerze domowym ... ale to robię tylko w systemie Windows ... kiedy mam czas ...

  • Sieć bezprzewodowa jest wyłączona, a nawet jeśli jest włączona, jest chroniona przepustowością.

  • Skanowanie okien niczego nie ujawniło ani nie powinno, ponieważ są
    tam zainstalowane okna i gry.

  • Mogę połączyć się z innymi portami dla SMTP, ale nasz serwer używa 25 i to nie może się zmienić

  • Testowałem także połączenie z portem 25 z windoze (używając thunderbirda)

  • Używam thunderbirda do klienta poczty e-mail na Ubuntu i przetestowałem kilka innych, aby sprawdzić, czy nie był to błąd konfiguracji thunderbirda.

  • Telneting wyświetla również limit czasu połączenia ...

EDYCJA: Mój dostawca usług internetowych nadal nie chce mnie odblokować ... Może będę musiał otworzyć 587 na serwerze, ponieważ w tej chwili nie jest to zablokowane (nadal mogę korzystać z Gmaila)

EDYCJA 2:

Wydaje mi się, że dzisiaj byłem połączony z inną technologią ze wsparcia mojego ISP i powiedziałem, że nie ma przed nimi żadnej blokady ... Byłem wściekły !!! Nie wiem, co robił poprzedni technik ... może jest nowy i czytał scenariusz ...

Przetestowałem więc innego usługodawcę internetowego przez tethering z mojego telefonu i udało mi się wysłać e-maile przez port 25. Zasadniczo nic nie zmieniłem, tylko usługodawca internetowy. Żartują sobie ze mnie? Może wsparcie techniczne nie wie, jak zinterpretować to, co widzą na ekranie dla mojego konta, czy może to być coś innego?

Kolejnym krokiem było pełne zresetowanie routera do ustawień domyślnych i uzyskanie kolejnego dynamicznego adresu IP. Nadal brak połączenia z portem 25.

Planuję uzyskać używany router od znajomego lub coś do przetestowania na innym routerze, aby upewnić się, że problem leży po stronie mojego usługodawcy internetowego.

EDYCJA 3: Minęło trochę czasu od mojej ostatniej aktualizacji tego pytania. Przeprowadziłem się z powrotem do mojego starego domu (który znajduje się w innej części kraju), gdzie mam tego samego dostawcę Internetu. Ta sama firma !! Moje ustawienia działają po prostu zgodnie z oczekiwaniami. Mogę dobrze wysyłać e-maile za pomocą portu 25. Założę się, że problem polegał na tym wstrętnym routerze ZTE, który ISP rozdaje nowym klientom.

smtp Petsoukos
źródło
Potrzebujesz czegoś takiego barracuda.com/products/spamfirewall, ale są one drogie
Tasos
Być może prowadziłeś coś takiego nmap somehost/24 -p 25?
d33tah,
Oprócz innych odpowiedzi dostawca usług internetowych może robić to, co robi większość dostawców usług internetowych - globalnie blokuje wychodzące SMTP. Czy twój dostawca usług internetowych ma serwer smtp, przez który można przekazywać? np. stmp. [isp.com]?
jqa
1
Czy skonfigurowałeś swój serwer pocztowy, aby nie przekazywał poczty z innego miejsca?
Shadur
1
to jest świat programisty, w cyber świecie wszystko jest możliwe, systemy operacyjne nie mogą się uodpornić, „wirus” jest jedynie nazwą dla złośliwego programu, który ktoś napisał, w zasadzie pytasz „czy ktoś może nawet uruchomić program ubuntu ”- oczywiście!
pythonian29033

Odpowiedzi:

32

Czy to w ogóle możliwe?

Dlaczego by nie miał Ubuntu to naprawdę elastyczny system, który ma wiele problemów z większością innych systemów operacyjnych:

  • Oprogramowanie w Ubuntu może być wykorzystywane
  • Nie potrzebujesz roota, aby uruchomić demona spamu.
  • Ludzie mogą złamać słabe uwierzytelnianie
  • Użytkownicy Ubuntu mogą zostać przekonani do zainstalowania / uruchomienia niemal wszystkiego
  • Po włamaniu hakerzy mogą przesyłać / zdalnie pobierać więcej oprogramowania do wysyłania spamu

Bądźmy realistami w kwestii bezpieczeństwa. Wieloplatformowy exploit Flash może łatwo przełożyć się na ładowanie droppera i instalację demona spamu, który uruchamia się po zalogowaniu. Nie wymaga rootowania.

Sprawdź dokładnie historię dostawcy usług internetowych

„Ale mój dostawca usług internetowych nie okłamałby mnie!” nikt nigdy nie powiedział . Wielu domowych dostawców usług internetowych zwykle blokuje port 25, a inni zmuszają cię do korzystania z ich serwerów SMTP (jest to jedyne dozwolone połączenie p25, na które zezwalają).

Bycie moderatorem pozwala mi zobaczyć twoje IP i sprawdziłem twojego domowego ISP. Jeśli przejrzysz w Google ich nazwę i „port 25” lub „smtp”, zobaczysz wiele innych osób w podobnych sytuacjach. I mają centralny serwer SMTP.

Wiem, że powiedziałeś, że jest to nowy problem, ale sprawdź dokładnie, czy to nie twój dostawca usług internetowych (lub wymagający odpowiednich ustawień podczas korzystania z niego). Obejście na końcu powinno nadal działać dla Ciebie.

Znalezienie problemu

Chociaż jest to możliwe, wciąż nie jestem pewien, czy jest to najbardziej prawdopodobny cel. Jeśli jesteś podobny do mnie, jesteś otoczony urządzeniami podłączonymi do Internetu i musisz na nie spojrzeć.

Zacznę od poproszenia ISP o jakieś dowody. Znaczniki czasu na minimalnym poziomie, ale byłoby wspaniale zobaczyć, czego używają, aby upewnić się, że nie powiodło się automatyczne flagowanie.

  • Możliwe, że ktoś oznaczył służbowy adres e-mail w dziale nadużyć dostawcy usług internetowych.
  • Musisz wiedzieć, z jakiego systemu operacyjnego korzystałeś w tym czasie. Zarówno Ubuntu, jak i Windows przechowują dzienniki uwierzytelniania, więc porównaj je z wszelkimi dowodami, które mogą ci wysłać.

  • Zaloguj aktywność portu wychodzącego 25 za pomocą czegoś takiego:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"

    Nie jestem pewien, czy to zadziała, jeśli jesteś już zablokowany, ale warto spróbować. Różne zapory systemu Windows oferują różne opcje rejestrowania.

  • Pamiętaj, że każde urządzenie w twoim połączeniu może wysyłać wiadomości e-mail, nie tylko komputer. Telefony, tostery z obsługą Wi-Fi, niegrzeczni sąsiedzi itp. Znalezienie tego, co wysyła tę pocztę, może wymagać przechwycenia i zalogowania pakietów na poziomie sieci. To wszystko jest możliwe, ale jest to ból z tyłu.

  • Gdy wyczerpiesz bardziej prawdopodobne ścieżki, wybierz oprogramowanie antywirusowe dla systemu Linux . Nie mogę osobiście wypowiadać się za żadnym z nich ani za wskaźnikami wykrywalności.

Natychmiastowe obejście bloku

Jeśli chcesz kontynuować, najłatwiejszym sposobem na wysłanie wiadomości e-mail jest połączenie zaciemnione lub szyfrowane. Jeśli masz dostęp do serwera SSH (np. W pracy), często może to być najlepsza metoda.

ssh -D9100 user@host

Następnie po prostu zmień swojego klienta e-mail, aby używał adresu proxy SOCKS localhost, portu 9100. Twój dostawca usług internetowych nie będzie w stanie w to ingerować i byłbym bardzo zaskoczony, jeśli to, co wysyła spam, może odgadnąć konfigurację SOCKS.

Co jest najbardziej prawdopodobne w tym przypadku ...?

Sprawdź, czy możesz wysyłać wiadomości e-mail za pośrednictwem serwera SMTP usługodawcy internetowego. Sprawdziłem, twój ma jeden. Być może zmuszają wszystkich użytkowników do korzystania z niego, ponieważ jest to bardzo powszechne. Osoba wsparcia technicznego może być po prostu zdezorientowana.

Poproś innego użytkownika (z innym kontem, na innej linii telefonicznej), aby spróbował połączyć się z SMTP firmy. Można to zrobić szybko za pomocą telnet example.com 25.

  • Jeśli nie mogą się połączyć, załóżmy, że dotyczy to całego dostawcy usług internetowych - nie tylko twojego konta - więc prawdopodobnie nie jest to problem z bezpieczeństwem ... To po prostu coś, z czym będziesz najlepiej pracować lub pracować.

  • Jeśli mogą się połączyć, wrócisz do punktu wyjścia. Było coś wysyłającego e-mail z Twojej sieci, co spowodowało, że Twój dostawca usług internetowych Cię zablokował. Najlepsi przyjaciele to wirusy, monitorowanie ruchu i paranoja.

Oli
źródło
1
Rzeczywiście, niektórzy dostawcy usług internetowych po prostu blokują to ze względu na zasady, więc jest to najprawdopodobniej i dlatego należy poprosić o dowód. Jeśli coś w twojej sieci domowej faktycznie przesyła zakres, znalezienie tego nie jest do końca łatwe.
psusi
Przyjmuję to jako odpowiedź, ponieważ zawiera przydatne informacje. Sprawdziłem instalację systemu Windows za pomocą różnych narzędzi skanujących ... nic nie znalazłem. Nawet śledzenia plików cookie ... Jeśli chodzi o moją instalację Ubuntu, po prostu uruchamiam narzędzie rkhunter i nic nie znalazłem ... (daj mi znać, czy są inne narzędzia, których mogę wypróbować w mojej konkretnej sytuacji)
Petsoukos
@Petsoukos Prawdopodobnie wolę rzeczywisty skanujący antywirus niż narzędzie takie jak rkhunter. Być może jestem niesprawiedliwy, ale nie zaliczam ich do tej samej ligi.
Oli
Ta odpowiedź pomija możliwość, że jest on otwartym przekaźnikiem spamu. To dobra informacja, ale może tylko pomóc mu w utrzymaniu dostępu do źle skonfigurowanej maszyny.
Casey
@ casey Nie wyciągam tego wniosku z pytania. W ogóle. Wspomina połączenie z serwerem roboczym, który obsługuje tylko port 25 ...
Oli
8

Z pewnością można się zarazić i być częścią botnetu w Ubuntu. Ale to naprawdę bardzo mało prawdopodobne.

Powinieneś być w stanie poprosić swojego dostawcę usług internetowych o ich zapisy. Pomogą ci znaleźć problem. Trudno go stąd zdiagnozować, ale Twoja sieć bezprzewodowa ma spore szanse na zawinienie. Sprawdź, czy używasz WPA2 dla bezpieczeństwa i WPS jest wyłączony.

Po rozwiązaniu problemu i zaprzestaniu wysyłania spamu prawdopodobnie możesz przekonać swojego dostawcę usług internetowych do odblokowania portów.

Javier Rivera
źródło
3
„Sprawdź, czy używasz WPA”. WEP i WPA są wrażliwe. Upewnij się, że korzystasz z WPA2.
MiniRagnarok
Zredagowałem go, ponieważ zgadzam się, że WPA2 jest bezpieczniejszy. Ale AFAIK nie ma znanej luki w WPA, która może pozwolić ci połączyć się z siecią (brak brutalnej siły, krótkich haseł lub użycie WPS w celu uzyskania hasła).
Javier Rivera
Moje wsparcie techniczne ISP prawdopodobnie nie wie, o czym mówię, kiedy z nimi rozmawiam ...
Petsoukos
5

Powszechną praktyką jest blokowanie portu wychodzącego 25, ponieważ z powodu obaw związanych ze spamem zniechęca się do oryginalnego przesyłania wiadomości e-mail. Nadal jest używany między serwerami pocztowymi.

Właściwym (i zazwyczaj nie zablokowanym) portem do przesyłania (oryginalnego) e-maila jest port 587, tak zwany port przesyłania. Dostawcy poczty zazwyczaj go obsługują, operatorzy systemu zazwyczaj go nie blokują.

fstd
źródło
4

Wielu dostawców usług internetowych blokuje porty 25 i 80 dla wszystkich swoich kont konsumenckich. Korzystam z usługi hostingowej, która obejmuje usługę e-mail. zapewniają mi serwer smtp na niestandardowym porcie dla wychodzących wiadomości e-mail. Działa wszędzie. Możesz mieć dostęp do czegoś podobnego. Zastanów się, jakie usługi już posiadasz i zbadaj je.

Marc
źródło
2

Wiele innych odpowiedzi koncentruje się na osobie korzystającej z Wi-Fi lub infekującej twoje maszyny. Są to możliwe, ale przeoczają najprostsze wyjaśnienie (brzytwa Ockhama ...).

Najprawdopodobniej działasz jako otwarty przekaźnik, co oznacza, że ​​każdy na świecie może połączyć się z twoją maszyną i po prostu poprosić ją, aby gdzieś wysłała pocztę, a zrobisz to, bez zadawania pytań. Często dostawcy usług internetowych będą Cię blokować, ponieważ jest to dla nich prosty test. Będą skanować blok IP klienta i prosić o cokolwiek na porcie 25, aby przekazać wiadomość testową, a jeśli to zrobisz, jesteś spamerem. Może się zdarzyć, że nikt tak naprawdę nie używa twojego przekaźnika, ale samo jego istnienie wystarczy, aby zostać zablokowanym.

Aby sprawdzić, czy jesteś przekaźnikiem otwartym, telnet na swój serwer pocztowy i porozmawiaj z nim. Pogrubione linie to te, które wpisujesz.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
554 5.7.1 <[email protected]>: Relay access denied

Linie wpisywane są helo, mail from:i rcpt to:linie. Upewnij się, że korzystasz z adresów, które nie są lokalne, ponieważ oba muszą być hostami zdalnymi. Jeśli błąd nie zostanie wyświetlony 554 relay denied, oznacza to, że jest źle skonfigurowaną bramą antyspamową i jest prawidłowo zablokowany.

Najprostszym sposobem zaradzenia temu jest wymaganie uwierzytelnienia w celu wysyłania poczty za pośrednictwem MTA. Szczegóły konfiguracji tego ustawienia zależą od uruchomionego MTA, szczegół, którego nie ma w pytaniu.

Casey
źródło
Myślę, że w takim przypadku powinienem mieć zainstalowany serwer poczty na moim komputerze domowym, czego nie mam. Poprawny? Nie próbuję wysyłać z mojego komputera jako serwera poczty, ale raczej połączyć się z moim rzeczywistym zdalnym serwerem (zewnętrznym).
Petsoukos
0

Tylko po to, aby upewnić się, że nie masz nic złego w swoim Linux-ie lub sieci.

Sprawdź swoją sieć samodzielnie

Zacznij od uruchomienia tego na swoim komputerze z systemem Linux w domu:

netstat -ta

Spowoduje to wyświetlenie listy wszystkich połączeń TCP, które są ustanowione lub nasłuchują (z serwerami za nimi). Jeśli jest coś, czego nie oczekujesz, powinieneś zbadać dalej.

Innym bardzo przydatnym poleceniem, które wyświetlałoby wszystkie procesy z połączeniami internetowymi, które utrzymywały jako otwarte, jest:

sudo lsof -i

(musisz mieć lsofzainstalowany pakiet).

Pamiętaj, że powyższe testy nie obejmą innych urządzeń udostępniających połączenie internetowe: telefonu, tabletów, gadżetów z dostępem do Internetu, sąsiadów korzystających z połączenia itp., Jak wspomniał Oli. Jeśli masz listę swoich wewnętrznych adresów IP, możesz uruchomić skanowanie portów zewnętrznych na każdym z nich, jeden po drugim, ze swojego Linux-a:

sudo nmap <internal-ip-address>

(wymaga nmappakietu). Może ujawnić porty i usługi otwarte na różnych urządzeniach, o których możesz nie wiedzieć.

arielf
źródło