| [Question] Làm sao truy tìm dấu vết spammer |
16/10/2008 23:06:02 (+0700) | #1 | 155450 |
Giang Hồ Mạng
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 15/03/2008 18:53:14
Messages: 21
Offline
|
|
Mấy ngày nay server của tôi liên tục nhận được log với nội dung
# tail -f /var/log/exim_mainlog
2008-10-16 09:42:00 [20656] 1Kphh3-0000Mm-LN => hosting@system.vn (root@system.vn) <nobody@system.vn> F=<> P=<> R=lookuphost T=remote_smtp S=6863 H=mail.system.vn [66.71.22.16]:25 C="250 ok 1224124928 qp 16523" QT=1d15h37m59s DT=48s
2008-10-16 09:50:12 [22107] cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1KpNy0-0003B8-TJ
2008-10-16 09:48:29 [21767] 1KqIua-0005f5-G5 <= <> R=1KpBmk-0005Bo-Pa U=mailnull P=local S=3088 T="Mail delivery failed: returning message to sender" from <> for nobody@system.vn
Tôi thừ search 1Kphh3-0000Mm-LN để tìm ra người gởi , dùng grep , more để tìm ra 1 account gởi spammer nhưng tôi không tìm ra ai là chủ nhân của nobody@system.vn gởi vào hộp thư hosting@system.vn của tôi .
Bình quân 1 ngày có hơn vài ngàn mail spam được gởi đi, server có dùng WHM (control panel) dùng Centos, email server là Exim, tôi dùng SpamAssassin , RBL để ngăn chặn spam .
Server này có 15 account chạy trên nó, được thuê lại từ 1 nhà cung cấp dịch vụ internet tại Mỹ, địa chỉ IP, domain tôi có đổi tên vì lý do riêng tư . Nhưng tôi không tìm ra account nào "nghi vấn" spam mail .
|
|
|
 |
|
| [Question] Làm sao truy tìm dấu vết spammer |
16/10/2008 23:41:03 (+0700) | #2 | 155455 |
![[Avatar]](/hvaonline/images/avatar/089f41810321eefc3f4eef5d4a388e42.png "[Avatar]")
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Giang Hồ Mạng wrote:
Mấy ngày nay server của tôi liên tục nhận được log với nội dung
# tail -f /var/log/exim_mainlog
2008-10-16 09:42:00 [20656] 1Kphh3-0000Mm-LN => hosting@system.vn (root@system.vn) <nobody@system.vn> F=<> P=<> R=lookuphost T=remote_smtp S=6863 H=mail.system.vn [66.71.22.16]:25 C="250 ok 1224124928 qp 16523" QT=1d15h37m59s DT=48s
2008-10-16 09:50:12 [22107] cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1KpNy0-0003B8-TJ
2008-10-16 09:48:29 [21767] 1KqIua-0005f5-G5 <= <> R=1KpBmk-0005Bo-Pa U=mailnull P=local S=3088 T="Mail delivery failed: returning message to sender" from <> for nobody@system.vn
Tôi thừ search 1Kphh3-0000Mm-LN để tìm ra người gởi , dùng grep , more để tìm ra 1 account gởi spammer nhưng tôi không tìm ra ai là chủ nhân của nobody@system.vn gởi vào hộp thư hosting@system.vn của tôi .
Bình quân 1 ngày có hơn vài ngàn mail spam được gởi đi, server có dùng WHM (control panel) dùng Centos, email server là Exim, tôi dùng SpamAssassin , RBL để ngăn chặn spam .
Server này có 15 account chạy trên nó, được thuê lại từ 1 nhà cung cấp dịch vụ internet tại Mỹ, địa chỉ IP, domain tôi có đổi tên vì lý do riêng tư . Nhưng tôi không tìm ra account nào "nghi vấn" spam mail .
Bồ mở một trong mấy cái e-mail trong hòm thư hosting@system.vn có người gởi là nobody@system.vn để lấy chi tiết của SMTP header ra và gởi lên đây xem? |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Làm sao truy tìm dấu vết spammer |
17/10/2008 00:08:44 (+0700) | #3 | 155462 |
Giang Hồ Mạng
Member
|
|
0 |
|
|
Joined: 15/03/2008 18:53:14
Messages: 21
Offline
|
|
Đây là header của mail , nhờ anh xem thử
Return-Path: <>
Delivered-To: hosting@system.vn
Received: (qmail 32582 invoked by uid 502); 16 Oct 2008 04:00:10 -0000
Received: from 66.71.22.16 by antispam.system.vn (envelope-from <>, uid 92) with qmail-scanner-1.24-st-qms
(clamdscan: 0.83/724. iscan: v3.1/v6.810-1005/442/76326. spamassassin: 2.64. perlscan: 1.24-st-qms.
Clear:RC:0(66.71.22.16):SA:0(2.8/6.0):.
Processed in 21.163351 secs); 16 Oct 2008 04:00:10 -0000
X-Spam-Status: No, hits=2.8 required=6.0
X-Spam-Level: ++
ABC-Antivirus-Mail-From: via antispam.system.vn
ABC-Antivirus: 1.24-st-qms (Clear:RC:0(66.71.22.16):SA:0(2.8/6.0):. Processed in 21.163351 secs Process 32507)
Received: from unknown (HELO system.vn) (66.71.22.16)
by mail.system.vn with SMTP; 16 Oct 2008 03:59:48 -0000
Received: from mailnull by system.vn with local (Exim 4.69)
id 1KqK1J-0008C5-9c
for nobody@system.vn; Thu, 16 Oct 2008 10:59:29 +0700
X-Failed-Recipients: kmerabet@netscape.net
Auto-Submitted: auto-replied
From: Mail Delivery System <Mailer-Daemon@system.vn>
To: nobody@system.vn
Subject: Mail delivery failed: returning message to sender
Message-Id: <E1KqK1J-0008C5-9c@system.vn>
Date: Thu, 16 Oct 2008 10:59:29 +0700
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - system.vn
X-AntiAbuse: Original Domain - system.vn
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain -
X-Source:
X-Source-Args:
X-Source-Dir:
|
|
|
|
|
| [Question] Re: Làm sao truy tìm dấu vết spammer |
17/10/2008 03:39:35 (+0700) | #4 | 155497 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Giang Hồ Mạng wrote:
Đây là header của mail , nhờ anh xem thử
Return-Path: <>
Delivered-To: hosting@system.vn
Received: (qmail 32582 invoked by uid 502); 16 Oct 2008 04:00:10 -0000
Received: from 66.71.22.16 by antispam.system.vn (envelope-from <>, uid 92) with qmail-scanner-1.24-st-qms
(clamdscan: 0.83/724. iscan: v3.1/v6.810-1005/442/76326. spamassassin: 2.64. perlscan: 1.24-st-qms.
Clear:RC:0(66.71.22.16):SA:0(2.8/6.0):.
Processed in 21.163351 secs); 16 Oct 2008 04:00:10 -0000
X-Spam-Status: No, hits=2.8 required=6.0
X-Spam-Level: ++
ABC-Antivirus-Mail-From: via antispam.system.vn
ABC-Antivirus: 1.24-st-qms (Clear:RC:0(66.71.22.16):SA:0(2.8/6.0):. Processed in 21.163351 secs Process 32507)
Received: from unknown (HELO system.vn) (66.71.22.16)
by mail.system.vn with SMTP; 16 Oct 2008 03:59:48 -0000
Received: from mailnull by system.vn with local (Exim 4.69)
id 1KqK1J-0008C5-9c
for nobody@system.vn; Thu, 16 Oct 2008 10:59:29 +0700
X-Failed-Recipients: kmerabet@netscape.net
Auto-Submitted: auto-replied
From: Mail Delivery System <Mailer-Daemon@system.vn>
To: nobody@system.vn
Subject: Mail delivery failed: returning message to sender
Message-Id: <E1KqK1J-0008C5-9c@system.vn>
Date: Thu, 16 Oct 2008 10:59:29 +0700
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - system.vn
X-AntiAbuse: Original Domain - system.vn
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain -
X-Source:
X-Source-Args:
X-Source-Dir:
OK. Nếu quả thật SMTP header này không thay đổi hoặc có thay đổi nhưng thay đổi đúng chỗ thì mail này được nhận từ host mailnull. Từ host mailnull này, mail được chuyển đến unknown có IP là 66.71.22.16 trước khi đi vào hòm thư hosting@system.vn. mailnull ở đây có thể là một mail gateway nào đó và mail đến kmerabet@netscape.net bị dội ngược lại. Điều này cho thấy có thể có 2 chuyện xảy ra:
1) Người gởi mail đến kmerabet@netscape.net có thể là một ai đó không thuộc mạng system.vn nhưng lại dùng "return-path" có giá trị là nobody@system.vn.
2) Người gởi mail đến kmerabet@netscape.net có thể thuộc mạng system.vn nên "return-path" có giá trị là nobody@system.vn.
Cả hai trường hợp đều khiến cho mail bị dội ngược về SMTP của system.vn bởi vì hòm thư kmerabet không tồn tại (ở phía netscape.net).
Với thông tin trong SMTP header trên, hoàn toàn không có thông tin gì về người gởi bởi vì mail này là mail dội ngược từ netscape.net về lại system.vn chớ không phải mail đi trực tiếp từ ai đó gởi đến nobody@system.vn. Tóm lại: bó tay con gà quay. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Làm sao truy tìm dấu vết spammer |
17/10/2008 06:29:16 (+0700) | #5 | 155518 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Hóa ra "thèng em" bị "vấn nạn" này  .
Bàn tiếp vài chi tiết quan trọng:
WHM (control panel) dùng Centos, email server là Exim, tôi dùng SpamAssassin , RBL để ngăn chặn spam
Dựa vào những điểm màu đỏ ở trên, mình có thể đoán rằng Exim cho phép "partial relay". Điều này có nghĩa cần xem kỹ lại chế độ "antirelay" của Exim server này (xuyên qua WHM control panel). Tình trạng bị spam này rất có thể Exim đã bị hổng và cho phép relay mail.
1) Xem kỹ lại chính WHM có bị lỗi gì không?
2) Xem kỹ lại /etc/relayhosts có các IP nào lạ không?
3) Xem kỹ lại "antirelayd daemon" có cho relay thoải mái hay không?
4) Dò logs của Exim và đối chiếu thời gian bị spam và thời gian các IP nằm trong /etc/relayhosts xem có cái nào đáng ngờ không?
Nên nhớ rằng, mỗi lần mail client authenticated đến Exim service đó xong, client đó không cần authenticate nữa trong ít nhất là 30 phút. Chỉ cần bao nhiêu đó cũng đủ gởi cả vài trăm mail rồi.
RBL có dùng đi chăng nữa mà bị lổ hổng "open relay" thì sẽ bị dùng để spam kẻ khãc và sẽ nhận mail "bounce" tràn ngập.
Thân. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Làm sao truy tìm dấu vết spammer |
17/10/2008 22:42:10 (+0700) | #6 | 155586 |
Giang Hồ Mạng
Member
|
|
0 |
|
|
Joined: 15/03/2008 18:53:14
Messages: 21
Offline
|
|
Vấn nạn này làm em nhức đầu vì không trace ra thủ phạm "chơi" mình, chỉ căn cứ vào địa chỉ IP, account tình nghi rồi kiểm tra, so sánh sau đó thì iptables ... drop . Phần WHM em có cập nhật lên , ngay cả exim và các ứng dụng trên server cũng cập nhật phiên bản lên .
Em có điều chỉnh giống như site này hướng dẫn
http://redronin.com/sourcecode/main/id/306
http://redronin.com/sourcecode/main/id/153
Trong exim.conf thì
accept domains = +local_domains
endpass
message = unknown user
verify = recipient
accept domains = +relay_domains
accept hosts = +relay_hosts
accept condition = ${perl{checkrelayhost}{$sender_host_address}}
và một vài điều chỉnh chức năng khác cũng như trên WHM nhưng em chưa rõ ở phần này
3) Xem kỹ lại "antirelayd daemon" có cho relay thoải mái hay không?
Khi nào anh rảnh nhờ anh xem giùm em daemon này
http://ultrashare.net/hosting/fl/ff8dd76219/antireplayd
http://www.upload.coo.vn/download.php?file=96afe8851e32e82934cb0dada9dc597a
Hiện giờ qua xem log của exim, thống kê hàng đợi của exim trên console thì từ tối hôm qua đến giờ (cách đây gần 11h) thì hiện tượng spam nobody không còn nữa và hàng đợi email của server chỉ còn khoãng 15 mail hợp lệ .
Cám ơn anh rất nhiều |
|
|
|
|
| [Question] Re: Làm sao truy tìm dấu vết spammer |
17/10/2008 23:45:47 (+0700) | #7 | 155594 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Anh xem lướt qua cái perl script đó thì không thấy có vấn đề gì nhưng em nên chú ý mấy cái giá trị này:
Code:
my $expire_time = 30;
my $relayhosts = '/etc/relayhosts';
my $relayhostsusers = '/etc/relayhostsusers';
my $alwaysrelay = '/etc/alwaysrelay';
Nếu user không gởi mail liên tục thì nên giảm expire_time xuống chỉ còn vài phút. Cái này để tránh tình trạng open relay bị mở rộng suốt 30 phút.
Các giá trị relayhosts và alwaysrelay nên xét thật kỹ nội dung. Hơn nữa, chỉnh (chmod) chỉ cho phép account nào cần đọc nó (Exim) thì chỉ được phép đọc mà thôi. Ngoài ra, chỉ có root mới có quyền điều chỉnh nội dung 2 files này.
Nội dung relayhostsusers cũng nên xem lại. Chỉ có những ai được phép dùng thì mới có tên trong danh sách này. Đừng đưa vào những account generic (như mail, nobody, daemon....) bởi vì đó cũng là những hiểm họa không cần thiết. Chỉnh quyền access file này y hệt như 2 files ở trên.
Nếu em không ngại, gởi một đoạn /var/log/maillog cho anh (qua PM). Chỉ chọn khoảng thời gian thấy mail đi vào liên tục để anh xem thử.
Thân. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Làm sao truy tìm dấu vết spammer |
18/10/2008 13:05:30 (+0700) | #8 | 155669 |
Giang Hồ Mạng
Member
|
|
0 |
|
|
Joined: 15/03/2008 18:53:14
Messages: 21
Offline
|
|
Em đã điều chỉnh những thứ cần thiết đúng như lời anh dặn và hiện giờ em kiểm tra thì từ hôm qua đến giờ trong hàng đợi có khoãng 20 địa chỉ email và hiện tượng nobody@system.vn gởi vào hộp thư hosting@system.vn không còn nữa .
Cho em hỏi thêm phần này, SMTP exim mặc định chạy trên cổng 25 , em dự định chuyển sang cổng khác và dùng iptables để đưa vào rules thích hợp , không biết điều này có ảnh hưỡng đến hiệu suất hoạt động của server hay không anh . Vì server này có cấu hình trung bình cho nên cần cân nhắc những thứ "nhét vào" nó để đảm bảo không gây ảnh hưỡng cho nó .
Nếu em không ngại, gởi một đoạn /var/log/maillog cho anh (qua PM). Chỉ chọn khoảng thời gian thấy mail đi vào liên tục để anh xem thử.
Dạ, được . Em sẽ gởi cho anh log của những ngày bị spam và ngày hôm nay không còn nhận được mail từ nobody@system.vn nữa .
P/s: Ủa mà sao anh biết em là thằng nào mà chat chit với em vậy anh  |
|
|
|
|
| [Question] Re: Làm sao truy tìm dấu vết spammer |
18/10/2008 23:52:41 (+0700) | #9 | 155690 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Giang Hồ Mạng wrote:
Em đã điều chỉnh những thứ cần thiết đúng như lời anh dặn và hiện giờ em kiểm tra thì từ hôm qua đến giờ trong hàng đợi có khoãng 20 địa chỉ email và hiện tượng nobody@system.vn gởi vào hộp thư hosting@system.vn không còn nữa .
Vậy thì coi bộ êm rồi đó.
Giang Hồ Mạng wrote:
Cho em hỏi thêm phần này, SMTP exim mặc định chạy trên cổng 25 , em dự định chuyển sang cổng khác và dùng iptables để đưa vào rules thích hợp , không biết điều này có ảnh hưỡng đến hiệu suất hoạt động của server hay không anh . Vì server này có cấu hình trung bình cho nên cần cân nhắc những thứ "nhét vào" nó để đảm bảo không gây ảnh hưỡng cho nó .
Về mặt kỹ thuật thì được nhưng về mặt nguyên tắc thì không bởi vì MTA từ những nơi khác gởi mail đến Exim của em tại cổng 25. Nếu em đổi cổng khác, các MTA sẽ không thể gởi mail về hệ thống của em được.
Em cho biết lý do tại sao em muốn đổi cổng 25 thành cổng khác được không?
Giang Hồ Mạng wrote:
Nếu em không ngại, gởi một đoạn /var/log/maillog cho anh (qua PM). Chỉ chọn khoảng thời gian thấy mail đi vào liên tục để anh xem thử.
Dạ, được . Em sẽ gởi cho anh log của những ngày bị spam và ngày hôm nay không còn nhận được mail từ nobody@system.vn nữa .
P/s: Ủa mà sao anh biết em là thằng nào mà chat chit với em vậy anh
Anh mà không biết em là "thằng nào" thì làm sao còn là... anh được?  |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Làm sao truy tìm dấu vết spammer |
19/10/2008 23:30:08 (+0700) | #10 | 155818 |
Giang Hồ Mạng
Member
|
|
0 |
|
|
Joined: 15/03/2008 18:53:14
Messages: 21
Offline
|
|
Về mặt kỹ thuật thì được nhưng về mặt nguyên tắc thì không bởi vì MTA từ những nơi khác gởi mail đến Exim của em tại cổng 25. Nếu em đổi cổng khác, các MTA sẽ không thể gởi mail về hệ thống của em được.
Em cho biết lý do tại sao em muốn đổi cổng 25 thành cổng khác được không?
Dạ, do em thấy bị spam nhiều quá cho nên nãy sinh ra "ý tưởng" thay đổi từ cổng 25 sang cổng khác (em nghĩ có thể dùng iptables để wwwect traffic để làm điều này hoặc kiểm tra cấu hình của exim, web application để thay đổi từ cổng 25 sang cổng khác)
Anh mà không biết em là "thằng nào" thì làm sao còn là... anh được?
Chắc anh đoán được chữ viết sai chính tả của em mà thôi vì em "quen" viết dấu hỏi thành dấu ngã và ngược lại mà  |
|
|
|
|
| [Question] Re: Làm sao truy tìm dấu vết spammer |
15/11/2008 15:02:56 (+0700) | #11 | 158975 |
channhua
Elite Member
|
|
0 |
|
|
Joined: 18/07/2003 04:49:28
Messages: 338
Offline
|
|
em chưa biết về exim và mail nhiều nhưng em muốn hỏi 1 câu
nếu mình có header cụ thể của email đó, tại sao mình ko ngăn chặn bằng cách drop cái email failed auto reply đó bằng các pattern như kmerabet@netscape.net chẳng hạn ?
như vậy thì email nào có nội dung header là kmerabet@netscape.net thì drop
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận bảo mật
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/6f4b7fd3eea0af87f9990faa8e3287f1.png "[Avatar]")
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")