PDA

Bekijk Volledige Versie : Spammer op server, help alsjeblieft!



slikkaticz
28/02/14, 22:41
Beste forumleden,

Ik heb sinds enige tijd last van een spammer die via mijn vps server email spam verstuurd! Ik heb slechts 2 users op mijn hele server zitten en de admin account wat ik zelf gebruik.

Sinds ik geupgrade ben naar custombuild 2 heb ik ook veel meer last van brute force attacks maar dit is nu de derde keer dat er iemand het voor elkaar krijgt spam te versturen via mijn server, ik heb al de admin accouint het wachtwoord aangepast en de ip adressen geblokkeerd van de brute force logs.

Hoe kan ik ervoor zorgen dat er geen spam meeer verstuurd kan worden en hoe kom ik erachter waar het lek zit? Dit is 1 van de service logs:

The admin account has just finished sending 20 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/admin.bytes file, it was found that the highest sender was smtpsmtp999@ukr.net, at 10 emails.

The top authenticated user was info@website.nl, at 44 emails.
This accounts for 220% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.

The top sending host was 195.250.34.144, at 29 emails (145%).

The most common path that the messages were sent from is /, at 44 emails (220%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.

This warning was generated because the 20 email threshold was hit.

================================
Automated Message Generated by DirectAdmin


Ik heb de max email per dag op 20 emails gezet om schade te beperken.

Spyder01
28/02/14, 22:51
De info die je hier post zegt niet zoveel. Scan je systemen op malware / virussen en pas daarna in ieder geval al je wachtwoorden aan. Je kunt daarnaast bijvoorbeeld maldetect installeren en draaien (en dan files van 30 dagen tot nu scannen). Wellicht lost dat het al op, anders moet er dieper in het systeem gekeken worden.

slikkaticz
28/02/14, 23:03
Oke ik zal maldetect installeren en hopen dat die iets vind! Bedankt voor de tip

slikkaticz
28/02/14, 23:39
Helaas heeft Maldetect ook niets gevonden, ik denk dat ik gewoon te zwakke wachtwoorden voor mijn e-mail accounts heb gebruikt en deze zijn gebruteforced, ik ga nu alle wachtwoorden hun emails wijzigen en hopen op het beste

t.bloo
28/02/14, 23:59
9 van de 10 keer loggen ze netjes in met het password dat ze op een onbeveiligd netwerk hebben gesnift, of opgevist van de computer van een gebruiker van de server.

Mark17
01/03/14, 01:25
9 van de 10 keer loggen ze netjes in met het password dat ze op een onbeveiligd netwerk hebben gesnift, of opgevist van de computer van een gebruiker van de server.

De laatste tijd zijn de gelekte bestanden van sites waar een email adres en wachtwoord in zit ook populair aan het worden helaas. Veel mensen gebruiken overal hetzelfde wachtwoord...

cyrano
01/03/14, 09:31
De laatste tijd...

Er is er net eentje van 350 miljoen namen en paswoorden te koop aangeboden. Bron onbekend. Komt wel van meerdere bronnen...

ju5t
01/03/14, 09:44
Het lijkt wel wat hipper te worden in ieder geval. Vervelend, maar als je er voor zorgt dat je e-mail limiteert is het ook niet veel meer dan dat.

Spyder01
01/03/14, 09:47
Sinds ik geupgrade ben naar custombuild 2 heb ik ook veel meer last van brute force attacks.

Dat heeft overigens niets met elkaar te maken. Wij hebben zowel DirectAdmin als cPanel servers en merken een toename van dik 70% qua bruteforces.
Het is weer de tijd van het jaar zal ik maar zeggen.

cfmweb
01/03/14, 10:22
Op dit moment zie je ook een veranderde tactiek bij het bruteforcen. Eerst kreeg je een heleboel inlog-pogingen vanaf enkele ip adressen, maar nu proberen ze "onder de radar te vliegen" door vanaf een heleboel verschillende ip adressen slechts enkele pogingen te doen.
Zo duurt het veel langer voordat het wordt opgemerkt door bijvoorbeeld de bruteforce monitor in Directadmin (afhankelijk van je instellingen).
Tja, en ga het dan maar eens blokkeren; een paar honderd ip adressen... Het advies blijft dus sterke wachtwoorden gebruiken.

En ik zie met angst en beven al komen hoe dat met IPv6 zal gaan...

Mark17
01/03/14, 14:33
Er is er net eentje van 350 miljoen namen en paswoorden te koop aangeboden. Bron onbekend. Komt wel van meerdere bronnen...

Die lijkt uiteindelijk bij Adobe te zijn weggekomen.

Het advies is inderdaad sterke wachtwoorden gebruiken, periodiek wachtwoorden wijzigen en wachtwoorden niet op meerdere plekken gebruiken.

vDong
01/03/14, 17:05
Sinds ik geupgrade ben naar custombuild 2 heb ik ook veel meer last van brute force attacks maar dit is nu de derde keer dat er iemand het voor elkaar krijgt spam te versturen via mijn server, ik heb al de admin accouint het wachtwoord aangepast en de ip adressen geblokkeerd van de brute force logs.

Dit kan gewoon toeval zijn, ik zie in de laatste 3 weken een gigantische toename in de bruteforce op auth smtp.
Wellicht zijn je wachtwoorden te simpel of moet je overgaan tot (automatisch) wegfirewallen van ips die brutforcen

4service
01/03/14, 17:14
k zie in de laatste 3 weken een gigantische toename in de bruteforce op auth smtp

Hier het zelfde verhaal, had een tijdelijke country block ingesteld waar de meeste auth smtp bruteforce wegkomen voor de nacht uurtjes.
Nu geen problemen meer

bibawa
02/03/14, 20:50
Hier ook, ze vliegen inderdaad onder de radar momenteel.
Hier ook veel last van invalid dns requests.. DNS is dan wel geen open relay en antwoord niet op unknown domeinen maar blijkbaar vinden ze het leuk om continu random domeinen af te vuren waarop de dns server dan telkens mooi antwoord 'denied'.. Begrijp niet goed wat ze daar aan hebben... Hebben dat nu vrij brutaal opgevangen door op de firewall alle ips die meer dan x requests per minuut sturen voor dns te blokkeren wel de nodige whitelists voorzien voor wat servers maar werkt wel..

systemdeveloper
02/03/14, 21:04
Hier ook, ze vliegen inderdaad onder de radar momenteel.
Hier ook veel last van invalid dns requests.. DNS is dan wel geen open relay en antwoord niet op unknown domeinen maar blijkbaar vinden ze het leuk om continu random domeinen af te vuren waarop de dns server dan telkens mooi antwoord 'denied'.. Begrijp niet goed wat ze daar aan hebben... Hebben dat nu vrij brutaal opgevangen door op de firewall alle ips die meer dan x requests per minuut sturen voor dns te blokkeren wel de nodige whitelists voorzien voor wat servers maar werkt wel..

Die dns requests zijn een vorm van ddos. In principe hopen ze op 2 effecten:

1) je resolved het gevraagde (sub)domein en vanwege de vele random subdomeinen werk je dan mee aan een ddos op de (remote) authorized dns server.
2) je bent zelf de auth van een domein en ze overbelasten je eigen dns server omdat het een zooi random (sub) domeinen zijn.

Een 'denied' is een goede oplossing voor dit gezeik.

chriske
07/03/14, 16:14
smtp accounts met makkelijke wachtwoorden worden massaal misbruikt. Dit is al enkele weken aan de gang zo.

Active8
08/03/14, 23:09
Hier ook veel last van , 1 of andere botnetwerk is bezig zo te zien


Sent from my iPhone using webhostingtalk mobile app

sby2
09/03/14, 03:16
Helaas ook hier meer bruteforce attack's zelfs op server die paar uur oud zijn.


Verzonden vanaf mijn iPhone met behulp van webhostingtalk

dennis0162
09/03/14, 09:56
Sinds een paar weken is het erger geworden met gehackte mail accounts.

Er is een of ander botnet in omloop wat de accounts misbruikt.

Dit botnet gebruikt altijd dezelfde patronen.
Ze hebben bijvoorbeeld allemaal dezelfde helo naam.

Wij hebben in de ACL voor verzendende mail de helo naam geblokkeerd voor buitenlandse IP-adressen. Dat scheelt ontzetttend veel.

Het is niet de netste oplossing, maar is wel effectief. De beste oplossing is dat klanten veilige wachtwoorden gebruiken en op hun computer een goede virusscanner installeren.

Sent from my HTC One using webhostingtalk mobile app

Mark17
09/03/14, 15:41
Dit botnet gebruikt altijd dezelfde patronen.
Ze hebben bijvoorbeeld allemaal dezelfde helo naam.

Helaas houden ze zich daar niet meer aan, het enige is dat de helo naam nog geen FQDN is. Dat zal echter in de praktijk voor de meeste mail clients van toepassing zijn verwacht ik. Het enige dat enig effect lijkt te hebben is strakke limieten op aantal verzonden mails per domein en per login per periode (van bv een kwartier, uur en dag). Niet dat het hiermee opgelost wordt, je beperkt echter wel de schade.

Daarnaast ben ik nog aan het kijken naar andere oplossingen die makkelijk op grotere schaal toepasbaar zijn.

dennis0162
09/03/14, 19:45
Op RFC geldige FQDN blokkeren zou ik niet doen, dan kan vrijwel geen een klant meer verbinden :thumbup:

Sinds een week of twee hebben we de volgende ACL's voor Exim in gebruik:

- HELO/EHLO naam geblokkeerd van een bekend botnet.
- Limiet voor buitenlandse IP-adressen van max. 10 recipients (in 1 mailtje) ingesteld.
- RBL lists voor de uitgaande SMTP mail gebruiken (geen mail meer te verzenden vanuit IP's die geblacklist zijn). * Alleen RBL's die geen Dynamic IP ranges geblokt hebben.

Alle Nederlandse en Belgische IP-adressen zijn gewhitelist zodat deze geen last hebben van bovenstaande.
We kunnen ook per domeinnaam whitelisten voor buitenlandse klanten.

Ik ben nog bezig om een soort counter te maken voor alleen buitenlandse IP-adressen.
Als het aantal verzonden mailtjes vanuit het buitenland ineens heel hoog is voor een account wat niet op de whitelist staat dat hij de uitgaande mail dan niet door laat.

Maar dat is wat lastiger dan het maken van ACL's voor Exim.

Sinds bovenstaande ACL's is het misbruik van gehackte (SMTP) accounts heel erg afgenomen.

Als iemand anders nog goede ideeën heeft hoor ik het graag, dan kan ik het wellicht omtoveren tot een ACL.