Здравствуйте.
Имеется почтовый сервер на линуксе
Сегодня ночью обнаружил вот такую стороку в логах sendmail.Jul 25 03:25:58 mail sm-mta[1637]: AUTH=server, relay=[212.7.208.86], authid=max, mech=LOGIN, bits=0
И куча писем из вне во вне. ТО есть похоже что сервер стал открытым релеем?
Правильно ли я понимаю что сервер стал открытым релеем?
И как его закрыть?
ну проверь свой сервер, есть в инете куча сайтов-тестеров на открытый релей
> Здравствуйте.
> Имеется почтовый сервер на линуксе
> Сегодня ночью обнаружил вот такую стороку в логах sendmail.
> Jul 25 03:25:58 mail sm-mta[1637]: AUTH=server, relay=[212.7.208.86], authid=max, mech=LOGIN,
> bits=0
> И куча писем из вне во вне. ТО есть похоже что сервер
> стал открытым релеем?
> Правильно ли я понимаю что сервер стал открытым релеем?
> И как его закрыть?Эта строка говорит, что при отправке письма через ваш сервер хоста с 212.7.208.86, на вашем сервере прошел аутентификацию пользователь max.
>[оверквотинг удален]
>> Имеется почтовый сервер на линуксе
>> Сегодня ночью обнаружил вот такую стороку в логах sendmail.
>> Jul 25 03:25:58 mail sm-mta[1637]: AUTH=server, relay=[212.7.208.86], authid=max, mech=LOGIN,
>> bits=0
>> И куча писем из вне во вне. ТО есть похоже что сервер
>> стал открытым релеем?
>> Правильно ли я понимаю что сервер стал открытым релеем?
>> И как его закрыть?
> Эта строка говорит, что при отправке письма через ваш сервер хоста
> с 212.7.208.86, на вашем сервере прошел аутентификацию пользователь max.А как это может быть если такого пользователя max нет по крайней мере в passwd и shadow такого пользователя нет.
Или пользователи прописаны еще где то могут быть?
Я попытался посмотреть его свойства а так же удалить его на что система сказала что такого пользователя не существует. Что это может быть?
Как не существующий пользователь может соединиться с сервером и отправлять через него почту? Единственное что я могу предположить что пользователя создают и потом удаляют но тогда как же тогда сервер получил прова рута?
Или когда подсоединяешься к sendmail то можно из под не существующей учетной записи?
> А как это может быть если такого пользователя max нет по крайней
> мере в passwd и shadow такого пользователя нет.
> Или пользователи прописаны еще где то могут быть?
> Я попытался посмотреть его свойства а так же удалить его на что
> система сказала что такого пользователя не существует. Что это может быть?
> Как не существующий пользователь может соединиться с сервером и отправлять через
> него почту? Единственное что я могу предположить что пользователя создают и
> потом удаляют но тогда как же тогда сервер получил прова рута?
> Или когда подсоединяешься к sendmail то можно из под не существующей учетной
> записи?Вы с логикой дружите? Или фантастику любите читать?
>[оверквотинг удален]
>> мере в passwd и shadow такого пользователя нет.
>> Или пользователи прописаны еще где то могут быть?
>> Я попытался посмотреть его свойства а так же удалить его на что
>> система сказала что такого пользователя не существует. Что это может быть?
>> Как не существующий пользователь может соединиться с сервером и отправлять через
>> него почту? Единственное что я могу предположить что пользователя создают и
>> потом удаляют но тогда как же тогда сервер получил прова рута?
>> Или когда подсоединяешься к sendmail то можно из под не существующей учетной
>> записи?
> Вы с логикой дружите? Или фантастику любите читать?Я пытаюсь дружить с логикой. Но я ни как не могу понять как из под несуществующего пользователя могли залогиниться?
При чем самое интересное что я авторизацию по smtp не настраивал.
Так что я не понимаю как вообще возможно.
Объясните ,пожалуйста,как такая строчка появилась в логах.
Так как я уже всю голову сломал.
>>[оверквотинг удален]
>>> мере в passwd и shadow такого пользователя нет.
>>> Или пользователи прописаны еще где то могут быть?
>>> Я попытался посмотреть его свойства а так же удалить его на что
>>> система сказала что такого пользователя не существует. Что это может быть?
>>> Как не существующий пользователь может соединиться с сервером и отправлять через
>>> него почту? Единственное что я могу предположить что пользователя создают и
>>> потом удаляют но тогда как же тогда сервер получил прова рута?Ага, имеют локального рута, пользуются им чтобы создать пользователя, с _удаленного_ хоста отправить почту, используя этого пользователя, а потом его удалить.
Не слишком ли навороченная схема, а?>>> Или когда подсоединяешься к sendmail то можно из под не существующей учетной
>>> записи?
>> Вы с логикой дружите? Или фантастику любите читать?
> Я пытаюсь дружить с логикой. Но я ни как не могу понять
> как из под несуществующего пользователя могли залогиниться?авторизация может быть и не через passwd/shadow.
> При чем самое интересное что я авторизацию по smtp не настраивал.
А вы настраивали сервер с нуля, самостоятельно?
> Так что я не понимаю как вообще возможно.
> Объясните ,пожалуйста,как такая строчка появилась в логах.Ну как-то возможно.. проверяется анализом конфигов и приветствия почтового сервера.
telnet localhost 25 ; EHLO test и так далее.> Так как я уже всю голову сломал.
>[оверквотинг удален]
>> Я пытаюсь дружить с логикой. Но я ни как не могу понять
>> как из под несуществующего пользователя могли залогиниться?
> авторизация может быть и не через passwd/shadow.
>> При чем самое интересное что я авторизацию по smtp не настраивал.
> А вы настраивали сервер с нуля, самостоятельно?
>> Так что я не понимаю как вообще возможно.
>> Объясните ,пожалуйста,как такая строчка появилась в логах.
> Ну как-то возможно.. проверяется анализом конфигов и приветствия почтового сервера.
> telnet localhost 25 ; EHLO test и так далее.
>> Так как я уже всю голову сломал.А через что еще?
Я его настраивал под руководством более опытного товарища несколько лет назад. Человек сейчас ушел из данной области. И поэтому теперь его не попросить. Если бы не эта сутуация то я бы помог его мне помочь. А так мне приходиться самому с этим вопросом разбираться.
telnet localhost 25 ; EHLO test и так далее.
Я делал это, но все мои попытки кончались крахом так как логин и пароль пользователя мах не совпадали. И тем более его нет среди пользователей.
Я этот пароль уже в разных видах подсовывал(пароль как passwd написан и паротль в base64 zя все перепробовал. Я прочел кучу документации в инете по этому поводу) smtp а воз и ныне там. Но ничего не получается.
Авторизация может быть и не через passwd/shadow. А через что еще?
Авторизацию я не делал через smtp. Я делал для pop3.
> telnet localhost 25 ; EHLO test и так далее.
> Я делал это,А какую цель вы преследовали, когда это делали?
> но все мои попытки кончались крахом так как логин
> и пароль пользователя мах не совпадали. И тем более его нет
> среди пользователей.
> Я этот пароль уже в разных видах подсовывал(пароль как passwd написан и
> паротль в base64 zя все перепробовал.Ну и формулировочки. Попробуйте выдохнуть и перечитать, что вы пишете.
Допустим, они бы "совпали". Что бы вы дальше делали?
>Я прочел кучу документации в инете по этому поводу) smtp а воз и ныне там.Какой документации? по какому поводу?
> Но ничего не получается.
А что вы делаете?
> Авторизация может быть и не через passwd/shadow. А через что еще?
google://sendmail smtp auth
> Авторизацию я не делал через smtp. Я делал для pop3.
Повторяю еще раз: "telnet localhost 25 ; EHLO test и так далее."
И там будет видно, делали вы "авторизацию через smtp" или нет.
>> telnet localhost 25 ; EHLO test и так далее.
>> Я делал это,
> А какую цель вы преследовали, когда это делали?Я делал команду telnet localhost 25 ; EHLO test
и так далее что бы проверить как проходит smtp авторризация.
То есть посмотреть что пишется в логах когда происходит авторизация.
То есть пробывал пройти по тому же пути как и меня взламли.
>> но все мои попытки кончались крахом так как логин
>> и пароль пользователя мах не совпадали. И тем более его нет
>> среди пользователей.
>> Я этот пароль уже в разных видах подсовывал(пароль как passwd написан и
>> паротль в base64 zя все перепробовал.
> Ну и формулировочки. Попробуйте выдохнуть и перечитать, что вы пишете.
> Допустим, они бы "совпали". Что бы вы дальше делали?Я бы сравнил что пишется когда в логи когда меня взламали и что пишется при моей попытке пройти тот же путь. Если бы получилось взломать то судя по документации в инете то получается что мой сервер стал открытым релеем.
>>Я прочел кучу документации в инете по этому поводу) smtp а воз и ныне там.
> Какой документации? по какому поводу?Документации по поводу проверки открытого релея.
И по поводу как авторизироваться на smtp порт.
И до того времени когда вы подсказали команду telnet localhost 25 ; EHLO test
я ее выполнял.
Я и читал про авторизацию по smtp auth
И пытался повторить путь взома. Но ничего не получается. Я попытался авторизироваться под разными пользователями но это не привело ни к чему.>> Но ничего не получается.
> А что вы делаете?
>> Авторизация может быть и не через passwd/shadow. А через что еще?
> google://sendmail smtp auth
>> Авторизацию я не делал через smtp. Я делал для pop3.
> Повторяю еще раз: "telnet localhost 25 ; EHLO test и так далее."
> И там будет видно, делали вы "авторизацию через smtp" или нет.
Вы утверждали, что авторизация по SMTP не настраивалась, но вы её проверяете, значит она настроена, верно? Если реальность не совпадает с ожиданиями/представлениями о ней - значит ваш сервер "взломан" и является "открытым, пусть и не для всех, релеем".
> Вы утверждали, что авторизация по SMTP не настраивалась, но вы её проверяете,
> значит она настроена, верно?Вы правы что авторизация настраивалась по умолчанию то есть была настроена по умолчанию то есть по умолчанию в пакете sendmail была встроена smtp авторизация. Я начинаю вспоминать что человек который меня консультировал по поду настройки sendmail (почтового сервера)что то говорил про это. И еще похоже что когда настраиваешь почтовый сервер то если брать пакет sendmail по умолчанию то там по умолчанию smtp авторизация включена. От сюда вывод. Что у меня имелась и имеется smtp авторизация, но только я про нее забыл. И ни кто ею не пользовался. Но только я про нее забыл. Мне очень интересно что серверу уже около 10 лет и только сейчас народ в инете нашел мой сервер и нашел что у него имеется smtp авторизация.
Если реальность не совпадает с ожиданиями/представлениями
> о ней - значит ваш сервер "взломан" и является "открытым, пусть
> и не для всех, релеем".По поводу маил релея я с вами не согласен так как я проверял разными интернет сервисами по поводу открытого релея и везде говорилось что мой сервер не открытый релей.
> По поводу маил релея я с вами не согласен так как я
> проверял разными интернет сервисами по поводу открытого релея и везде говорилось
> что мой сервер не открытый релей.А я не согласен с вами, и что дальше?
Я же написал - открытый, но не для всех.
>> По поводу маил релея я с вами не согласен так как я
>> проверял разными интернет сервисами по поводу открытого релея и везде говорилось
>> что мой сервер не открытый релей.
> А я не согласен с вами, и что дальше?
> Я же написал - открытый, но не для всех.Подскажите, пожалуйста, как я могу попробовать пройти путем взлома.
Так как я не могу авторизироваться под юзером max?
Можно ли удалить этого юзера?
>>> По поводу маил релея я с вами не согласен так как я
>>> проверял разными интернет сервисами по поводу открытого релея и везде говорилось
>>> что мой сервер не открытый релей.
>> А я не согласен с вами, и что дальше?
>> Я же написал - открытый, но не для всех.
> Подскажите, пожалуйста, как я могу попробовать пройти путем взлома.
> Так как я не могу авторизироваться под юзером max?Не знаете пароля - вот и не можете. Будете знать пароль - сможете.
> Можно ли удалить этого юзера?
Конечно. Нет ничего вечного.
>[оверквотинг удален]
> умолчанию то есть по умолчанию в пакете sendmail была встроена smtp
> авторизация. Я начинаю вспоминать что человек который меня консультировал по
> поду настройки sendmail (почтового сервера)что то говорил про это. И еще
> похоже что когда настраиваешь почтовый сервер то если брать пакет sendmail
> по умолчанию то там по умолчанию smtp авторизация включена. От сюда
> вывод. Что у меня имелась и имеется smtp авторизация, но только
> я про нее забыл. И ни кто ею не пользовался. Но
> только я про нее забыл. Мне очень интересно что серверу уже
> около 10 лет и только сейчас народ в инете нашел мой
> сервер и нашел что у него имеется smtp авторизация.За десять лет много чего изменилось в мире, посмотрите конфиг, может вы еще чего "забыли"? Может вам просто отключить лишний функционал?
> Вы утверждали, что авторизация по SMTP не настраивалась, но вы её проверяете,
> значит она настроена, верно? Если реальность не совпадает с ожиданиями/представлениями
> о ней - значит ваш сервер "взломан" и является "открытым, пусть
> и не для всех, релеем".Я вспомнил что у меня имеется smtp авторизация. Как проверить ее работу?
Явно взлом шел от имени пользователя max. Как я могу попробовать пройти весь путь взлома?
Я пытался авторизироваться под именем max у себя на сервере. Но у меня ничего не получилось. Я пароль ему подсовывал в разных видах и в base64 и в других. В каком виде хранятся пароли в файле sasldb? Я могу каким то образом прочитать этот пароль из этого файла?
>> Вы утверждали, что авторизация по SMTP не настраивалась, но вы её проверяете,
>> значит она настроена, верно? Если реальность не совпадает с ожиданиями/представлениями
>> о ней - значит ваш сервер "взломан" и является "открытым, пусть
>> и не для всех, релеем".
> Я вспомнил что у меня имеется smtp авторизация. Как проверить ее работу?А что её проверять, её уже проверили за вас. Говорят, работает...
> Явно взлом шел от имени пользователя max. Как я могу попробовать пройти
> весь путь взлома?Начинайте подбирать пароль. Найдите софт, или напишите сами.
Только зачем это вам нужно, я не понимаю. Цель какая?> Я пытался авторизироваться под именем max у себя на сервере. Но у
> меня ничего не получилось. Я пароль ему подсовывал в разных видах
> и в base64 и в других. В каком виде хранятся пароли
> в файле sasldb? Я могу каким то образом прочитать этот пароль
> из этого файла?Я не пользовался возможностью хранения пользователей и их паролей в файле sasldb.
Вероятнее всего пароль там хранится в хешированном виде, получить значение пароля можно только перебором. Зачем вам пароль?
>[оверквотинг удален]
> Начинайте подбирать пароль. Найдите софт, или напишите сами.
> Только зачем это вам нужно, я не понимаю. Цель какая?
>> Я пытался авторизироваться под именем max у себя на сервере. Но у
>> меня ничего не получилось. Я пароль ему подсовывал в разных видах
>> и в base64 и в других. В каком виде хранятся пароли
>> в файле sasldb? Я могу каким то образом прочитать этот пароль
>> из этого файла?
> Я не пользовался возможностью хранения пользователей и их паролей в файле sasldb.
> Вероятнее всего пароль там хранится в хешированном виде, получить значение пароля можно
> только перебором. Зачем вам пароль?Хорошо. Допустим что взломан. Мне хочется пройти весть путь для того что бы понять где дырка и что мне нужно сделать что бы этого не повторилось в будущем. Я понимаю что авторизация произошла через smtp авторизацию. Я не понимаю как хакер обнаружил этого единственного пользователя который заведен был sasldb для примера. Сколько хакеру понадобилось времени что бы перебрать всех пользователей (у меня пользователей около 100000) Если есть другой путь как понять причину взлома и что сделать что бы не повторилась эта история с сервером то скажите. Правильно ли я понимаю что:
В файле sasldb без рутового пароля не возможно ничего записать?
То есть был взломан рутовый пароль.
Для того что бы рутовый пароль был взломан нужно что была бы возможность зайти под пользователем (а у меня их более 10000) и только одного пользователя имеется во первых домашняя директория а во вторых имеет возможность стать рутом.
То есть был взломан обычный пользователь.
>[оверквотинг удален]
>>> в файле sasldb? Я могу каким то образом прочитать этот пароль
>>> из этого файла?
>> Я не пользовался возможностью хранения пользователей и их паролей в файле sasldb.
>> Вероятнее всего пароль там хранится в хешированном виде, получить значение пароля можно
>> только перебором. Зачем вам пароль?
> Хорошо. Допустим что взломан. Мне хочется пройти весть путь для того что
> бы понять где дырка и что мне нужно сделать что бы
> этого не повторилось в будущем. Я понимаю что авторизация произошла через
> smtp авторизацию. Я не понимаю как хакер обнаружил этого единственного пользователя
> который заведен был sasldb для примера.А что, "max" это такой уникальный логин, что его нельзя "угадать"? Вы вообще в логи смотрели? Там что, бац, одна попытка входа, сразу успешная, с отправкой 100500 писем?
> Сколько хакеру понадобилось времени что
> бы перебрать всех пользователей (у меня пользователей около 100000)Повторю вопрос - В логи смотрели?
К пользователю max пароли 12345 и 123456 пробовали?> Если есть другой путь как понять причину взлома и что сделать что бы
> не повторилась эта история с сервером то скажите.Нужно смотреть и анализировать логи, смотреть историю изменений конфигурационных файлов, сравнивать содержимое БД и т д. Смотреть и анализировать.
> Правильно ли я понимаю что:
> В файле sasldb без рутового пароля не возможно ничего записать?Не знаю. Смотрите в права на файл, в конфигурацию системы.
> То есть был взломан рутовый пароль.
> Для того что бы рутовый пароль был взломан нужно что была бы
> возможность зайти под пользователем (а у меня их более 10000) и
> только одного пользователя имеется во первых домашняя директория а во вторых
> имеет возможность стать рутом.
> То есть был взломан обычный пользователь.Поражаюсь вашей упертости и стремлению переусложнить видение ситуации.
Если max - реальный пользователь вашей системы - не стоит исключать и варианта, что пароль доступа к почте был украден с его рабочей станции.
>[оверквотинг удален]
>>> Вероятнее всего пароль там хранится в хешированном виде, получить значение пароля можно
>>> только перебором. Зачем вам пароль?
>> Хорошо. Допустим что взломан. Мне хочется пройти весть путь для того что
>> бы понять где дырка и что мне нужно сделать что бы
>> этого не повторилось в будущем. Я понимаю что авторизация произошла через
>> smtp авторизацию. Я не понимаю как хакер обнаружил этого единственного пользователя
>> который заведен был sasldb для примера.
> А что, "max" это такой уникальный логин, что его нельзя "угадать"? Вы
> вообще в логи смотрели? Там что, бац, одна попытка входа, сразу
> успешная, с отправкой 100500 писем?Не в этом дело. Сколько я не смотрел в логах нигде он (max)не проявлялся только судя по сему неделе две назад по крайней мере судя по логам. и эта учетная запись уже давно не используется (по крайней мере лет 5)так что поймать по идее ее не могли. Я правда недели две назад был на селигере в походе видишь ли ходил на байдарке видимо в мое отсутствие и взломали.
>> Сколько хакеру понадобилось времени что
>> бы перебрать всех пользователей (у меня пользователей около 100000)
> Повторю вопрос - В логи смотрели?
> К пользователю max пароли 12345 и 123456 пробовали?Логи смотрел и первая запись про max датируется примерно 2 неделе назад.
>> Если есть другой путь как понять причину взлома и что сделать что бы
>> не повторилась эта история с сервером то скажите.
> Нужно смотреть и анализировать логи, смотреть историю изменений конфигурационных файлов,
> сравнивать содержимое БД и т д. Смотреть и анализировать.Нет ни какой бд насколько я понимаю только файл saslbd. И у меня подозрение что хакер добрался до этого файла и прочитал пароль. Поэтому и вопрос как можно прочитать парол\ь и этого файла не имея пароь рута?
>[оверквотинг удален]
>> То есть был взломан рутовый пароль.
>> Для того что бы рутовый пароль был взломан нужно что была бы
>> возможность зайти под пользователем (а у меня их более 10000) и
>> только одного пользователя имеется во первых домашняя директория а во вторых
>> имеет возможность стать рутом.
>> То есть был взломан обычный пользователь.
> Поражаюсь вашей упертости и стремлению переусложнить видение ситуации.
> Если max - реальный пользователь вашей системы - не стоит исключать и
> варианта, что пароль доступа к почте был украден с его рабочей
> станции.Нет max не реальный пользователь его нет в passwd и он есть судя по сему только в sasldb.
Тем боле он не пользуется этим сервером лет 5. Я его завел около 5 лет назад но он им так и ни разу и не пользовался.
ваша логика и упертость в подозрениях меня окончательно добили.Успехов. Не забудьте переустановить систему - она скомпрометирована.
Смени пароль уже у пользователя max и наблюдай дальше.
> Смени пароль уже у пользователя max и наблюдай дальше.Я сменил пароль пользователя. Спасибо наблюдаю уже несколько дней. Теперь два дня все нормально. Вопрос возник у меня такой. А в каком файле заведены пользователи для того что овторизироваться по smtp? То есть должен ли быть пользователь заведен в passwd или для того что бы авторизироваться по smtp протоколу не обязательно он должен быть заведен в passwd?
Тогда в каком файле можно посмотреть список пользователей которые имеют право авторизироваться по smtp протоколу?
>> Смени пароль уже у пользователя max и наблюдай дальше.
> Я сменил пароль пользователя. Спасибо наблюдаю уже несколько дней. Теперь два дня
> все нормально. Вопрос возник у меня такой. А в каком файле
> заведены пользователи для того что овторизироваться по smtp? То есть должен
> ли быть пользователь заведен в passwd или для того что бы
> авторизироваться по smtp протоколу не обязательно он должен быть заведен в
> passwd?
> Тогда в каком файле можно посмотреть список пользователей которые имеют право авторизироваться
> по smtp протоколу?Пробуй
sasldblistusers
sasldblistusers2покажут содержимое sasldb