Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Взлом почтового сервера на Debian  (Прочитано 2875 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн CaypoH

  • Автор темы
  • Любитель
  • *
  • Сообщений: 57
    • Просмотр профиля
Взлом почтового сервера на Debian
« : 31 Августа 2009, 11:47:17 »
Описываю ситуацию:
сегодня секретурка попросила глянуть почему у неё начиная с 27-го числа нету почты. полез, просто ради интереса, на сервер, который у нас на Debian, глянул логи авторизации в /var/log и обнаружил 200 килобайтный файл лога, в котором начиная с 8 утра 25-го числа шли многочисленные попытки подборки пароля root.  26-го числа вечером они увенчались успехом, что видно по логам. взломщики юзали французский проксик, как показала проверка whois на осталенный в логах айпишник. пароль рута я первым делом сменил.
теперь начинается самое интересное. почтовый сервер кушается лимитный интернет-тариф, который тут же ушёл в большой минус. ушёл он потому, что с 26-го числа данный почтовик используется с целью спама. согласно логам шли отсылки вплоть до 8 сообщений в секунду.
в данный момент почта не работает ввиду того что баланс отрицательный. поплнять баланс я им запретил до тех пор пока не решу проблему.
что могли оставить злоумышленники на сервере?
что именно мне теперь нужно убить, чтобы остановить спам идущий с сервака?

всем заранее спасибо за помощь. не могу сказать что сроки решения проблемы прям уж сильно поджимают, но чем дольше не будет работать почта, тем хуже.

Оффлайн sciko

  • Активист
  • *
  • Сообщений: 854
    • Просмотр профиля
Re: Взлом почтового сервера на Debian
« Ответ #1 : 31 Августа 2009, 12:23:55 »
сегодня секретурка попросила глянуть почему у неё начиная с 27-го числа нету почты. полез, просто ради интереса, на сервер, который у нас на Debian, глянул логи авторизации в /var/log и обнаружил 200 килобайтный файл лога, в котором начиная с 8 утра 25-го числа шли многочисленные попытки подборки пароля root.
Причины взлома:
1. очень слабый пароль рута (У тебя что пароль из 3 символов?).
2. не настроен фаерволл.
26-го числа вечером они увенчались успехом, что видно по логам.
Долго они чего-то...

что могли оставить злоумышленники на сервере?
Всё что угодно. Начиная от простого скриптика и заканчивая руткитом с заменой файлов окружения или правкой ядра.
что именно мне теперь нужно убить, чтобы остановить спам идущий с сервака?
По хорошему тебе надо полностью переставить систему/восстановить из бекапа.

всем заранее спасибо за помощь. не могу сказать что сроки решения проблемы прям уж сильно поджимают, но чем дольше не будет работать почта, тем хуже.
Будь я твоим начальником, я бы уже искал нового сотрудника на твоё место.

Оффлайн CaypoH

  • Автор темы
  • Любитель
  • *
  • Сообщений: 57
    • Просмотр профиля
Re: Взлом почтового сервера на Debian
« Ответ #2 : 31 Августа 2009, 12:37:53 »
Цитировать
Причины взлома:
1. очень слабый пароль рута (У тебя что пароль из 3 символов?).
2. не настроен фаерволл.
да. пароль был слабый. только буквы и только одного регистра.
сам мейл-сервер ставил и настраивал не я. а другой человек который давно уволился. он же и пароль назначал. мне от него всё это "по наследству" досталось

Цитировать
Долго они чего-то...
согласно логам ночами и ранним утром ломали. днём бездействовали.

Цитировать
По хорошему тебе надо полностью переставить систему/восстановить из бекапа.
как ни печально - но помоему придётся делать первое, потому что бекапы никогда не производились. сам почтовый "сервер" это слабенькая машинка с винтом в примерно 5 гигабайт, копейками оперативки и т.д. для масштабных действий он не предназначался.

Цитировать
Будь я твоим начальником, я бы уже искал нового сотрудника на твоё место.
я работаю в аутсорсиноговой компании. мы много фирм админим. приезжаем в основном по принципу "когда что-то сломалось". именно поэтому никто и не замечал что у них почтовик ломают. на него и не заходил уже давно никто. в фирме почтовик этот отдельно стоит, интернет шлюз отдельно, вынь2003сервер под 1с-ку отдельно.
так что мой то начальник как раз вежливо просит потратить моё драгоценное время чтобы помочь фирмочке, которая жлобится нанимать постоянных админов ;)

Оффлайн sciko

  • Активист
  • *
  • Сообщений: 854
    • Просмотр профиля
Re: Взлом почтового сервера на Debian
« Ответ #3 : 31 Августа 2009, 13:03:37 »
сам мейл-сервер ставил и настраивал не я. а другой человек который давно уволился. он же и пароль назначал. мне от него всё это "по наследству" досталось
Если досталось "по наследству" некоторое время назад, то вина твоя всё же есть: не проверил что принимаешь и не поправил. Если досталось только после возникновения проблемы, то к тебе претензий нет.

как ни печально - но помоему придётся делать первое, потому что бекапы никогда не производились. сам почтовый "сервер" это слабенькая машинка с винтом в примерно 5 гигабайт, копейками оперативки и т.д. для масштабных действий он не предназначался.
Самое время после установки сделать бекап.

в фирме почтовик этот отдельно стоит, интернет шлюз отдельно, вынь2003сервер под 1с-ку отдельно.
Какое расточительство! Предлагаю вариант минимальных переделок: почтовик и интернет-шлюз собрать на одной машине, а оставшуюся машину поставить в горячий резерв и еженедельно делать автоматом туда бекап. Есть вариант полной переделки: на одной физической машине создать 3 виртуальных машины. В первую поставить Линь, OpenLDAP, Вайн от Эверсофта и 1C (припугнуть штрафами за нелицензионку). На вторую почтовик + интернет-шлюз. А третью оставить про запас (на поиграться).

И советы напоследок:
1. настрой фаерволл с отсылкой предупреждений о всяком непонятном на e-mail.
2. настрой автоматическое обновление.
3. создай ещё несколько пользователей с ограниченными правами для проведения наиболее типичных работ.
4. вынь винт из компа и поставь Дебиан на него с более быстрого компа (так быстрее и удобнее).
5. Обязательно сделай полный бекап системы (влезет на 1 современный дивидюк).
6. Добавь в почтовик какой-нибудь антивирус (например, Clam -- он есть в репах).

Оффлайн CaypoH

  • Автор темы
  • Любитель
  • *
  • Сообщений: 57
    • Просмотр профиля
Re: Взлом почтового сервера на Debian
« Ответ #4 : 31 Августа 2009, 17:45:08 »
Цитировать
Если досталось "по наследству" некоторое время назад, то вина твоя всё же есть: не проверил что принимаешь и не поправил. Если досталось только после возникновения проблемы, то к тебе претензий нет.
скорей и не то и не другое. досталось тогда, когда ставивший всё это дело админ уже ушёл. а вообще этот серверок уже кто только ни обслуживал. мне достался только мануал по которому, как мне сказали, почтовик настраивался.
вот он кстати
бекап обязательно сделаю
Цитировать
Какое расточительство!
и представь, при всём при этом они пользуются услугами аутсорсинговой компании.
Цитировать
почтовик и интернет-шлюз собрать на одной машине
разные провайдеры. один специально для почты, местный наш, почему то с трафиковым тарифом (почему - для меня загадка), другой для выхода в инет, безлимитный. к слову сказать, на инет-шлюзе тоже дебиан, и настроен так, что после перезагрузки автоматически не поднималась раздача. после пары "заявок" на неработающий инет меня это запарило и я малеха переделал настройки. железо там, я скажу, тоже далеко не блещет производительностью.
у меня уже засела идея развести хозяев этого бардака на одну более-менее приличную тачку, воткнуть туда саляру, и сделать шлюз с правильной раздаче инета по dhcp (у них щас ручками всё вбивается) и ограничением всяких контактов, одноклассников и прочей нечести.
п.с. пока писал связался с один одмином обслуживавшим этот почтовик, он говорит что там нет никакой аниспам защиты, потом что "она убивала некоторые нужные письма".

Оффлайн sciko

  • Активист
  • *
  • Сообщений: 854
    • Просмотр профиля
Re: Взлом почтового сервера на Debian
« Ответ #5 : 31 Августа 2009, 18:12:31 »
Цитировать
почтовик и интернет-шлюз собрать на одной машине
разные провайдеры.
Это не помеха. Если к разным провайдерам у них разные кабели идут, вынимаешь одну сетевуху (судя по размеру винта там должна стоять сетевуха в PCI-слот) и переносишь её в другой комп. Ну, а дальше дело техники и желания (например, сливаешь трафик в один и перенаправляешь на почтовик).

у меня уже засела идея развести хозяев этого бардака на одну более-менее приличную тачку, воткнуть туда саляру, и сделать шлюз с правильной раздаче инета по dhcp (у них щас ручками всё вбивается) и ограничением всяких контактов, одноклассников и прочей нечести.
Не люблю соляру (у неё компилятор закрытый). У меня к ней предубеждение. Лучше фряху или опенбсд.

avial

  • Гость
Re: Взлом почтового сервера на Debian
« Ответ #6 : 31 Августа 2009, 18:43:55 »
какой безграмотный админ,, 
почему я без образования айтишного на сервере fail2ban держу и он мне на предмет WARNING смсками отчитываетса раз в сутки . а люди имеющие и место работы и дипломы не могут такой простой вещи устроить, темболее на почтовике.

 

Страница сгенерирована за 0.034 секунд. Запросов: 23.