ISS, spam nedeniyle engellenmiş 25 numaralı bağlantı noktasını engelledi

20

Ana soru:

Ubuntu'da (veya başka herhangi bir dağıtımda) bir bot / spam yazılımından etkilenmiş olmak bile mümkün mü?

Detaylar:

ISS’m 25 (ve 465) numaralı bağlantı noktamı giden bağlantılardan (giden bağlantılar, evden uzaktaki sunuculara) SMTP'ye engelledi , bu nedenle işletme e-postalarımı şu anda evden kullanamıyorum. Beni engelleme sebepleri: "spam gönderdiğiniz için" değil - ki göndermezsem işletim sistemime virüs bulaştığını söylediler.

Herhangi bir sızıntı / kötü amaçlı yazılım / rootkit için sistemi ( Ubuntu 13.10 14.04 64bit ) kontrol etmek için kapsamlı bir araç ve rehber listesi kullanabilirim .

PS

  • Ayrıca, ev bilgisayarımda da oyun oynamayı sevdiğim için Windows 8.1 (64bit) yüklüyordum ... ama zamanım olduğunda sadece Windows'ta yapıyorum ...

  • Kablosuz bağlantı kapalı ve açık olsa bile geçiş korumalı.

  • Pencerelerin taranması,
    orada yüklü pencereler ve oyunlar olduğundan beri hiçbir şey ortaya çıkarmadı .

  • SMTP için diğer bağlantı noktalarına bağlanabiliyorum ancak sunucumuz 25 kullanıyor ve bu değiştirilemiyor

  • Ayrıca rüzgar limanından 25 numaralı bağlantı noktasına bağlantıyı test ettim (gökgürültüsü kullanarak)

  • Ubuntu'daki e-posta istemcisi için thunderbird kullanıyorum ve sadece birkaçının thunderbird'ün yanlış yapılandırılmadığını doğrulamak için birkaçını test ettim.

  • Telnetleme ayrıca bağlantı zaman aşımını da verir.

EDIT: İnternet servis sağlayıcım hala engellemeyi reddediyor ... Şu anda engellenmediği için sunucuda 587'yi açmam gerekecek (şu an Gmail’i kullanabiliyorum)

EDIT 2:

Sanırım bugün ISS'nin desteğinden başka bir teknolojiyle bağlantı kurdum ve bana onlardan bir blok olmadığını söyledim ... Öfkeli oldum !!! Önceki tekniğin ne yaptığını bilmiyorum ... belki yenidir ve bir senaryodan okuyordu ..

Bu yüzden başka bir ISS'yi telefonumdan bağlanarak test ettim ve başarıyla 25 numaralı bağlantı noktasından e-posta göndermeyi başardım. Esasen hiçbir şeyi değiştirmedim, yalnızca ISS'yi. Dalga mı geçiyorlar? Belki teknik destek hesabımda ekranlarında neler aradıklarını nasıl yorumlayacağını bilmiyor ya da başka bir şey olabilir mi?

Attığım diğer bir adım yönlendiricimi varsayılan ayarlarına tamamen sıfırlamak ve başka bir dinamik IP elde etmekti. 25 numaralı bağlantı noktasına hala bağlantı yok.

Sorunun ISS ile ilgili olduğundan emin olmak için bir arkadaşımdan kullanılmış bir yönlendirici veya başka bir yönlendirici ile test edecek bir şey almayı planlıyorum.

EDIT 3: Bu soruya yaptığım son güncellemeden bu yana bir süre geçti. Aynı internet sağlayıcısına sahip olduğum (ülkenin farklı bir yerindeki) eski evime taşındım. Aynı şirket !! Ayarlarım sadece beklendiği gibi çalışıyor. 25 numaralı bağlantı noktasını kullanarak e-posta gönderebilirim. Bahse girerim, ISS'nin yeni müşterilere dağıttığı kötü ZTE yönlendiricisiyle ilgili sorun buydu.

smtp 
Petsoukos
kaynak
Bunun gibi bir şeye ihtiyacınız var barracuda.com/products/spamfirewall ancak pahalılar
Tasos
Belki de böyle bir şeyi koştun nmap somehost/24 -p 25?
d33tah
Diğer cevaplara ek olarak, ISS çoğu ISS'nin şu anda yaptığı şeyi yapıyor olabilir - bunlar genel olarak giden SMTP'yi engeller. ISS'niz üzerinden aktarabileceğiniz bir smtp sunucusu var mı? örneğin stmp. [isp.com]?
jqa
1
Posta sunucunuzu başka bir yerden posta iletmeyecek şekilde yapılandırdınız mı?
Shadur
1
bu yazılım insanı dünyası, siber dünya içinde, her şey mümkün, işletim sistemleri bağışıklık kazanamaz, 'virüs' sadece kodlanmış bir program için bir isim, temelde soruyorsunuz "birisinin programını çalıştırabilir mi? Ubuntu "- DERSİN!
pythonian29033

Yanıtlar:

32

Mümkün mü?

Neden olmasın ? Ubuntu, diğer birçok işletim sistemiyle birçok sorunu paylaşan gerçekten esnek bir sistemdir:

  • Ubuntu’daki yazılımlardan yararlanılabilir
  • Bir spam daemon çalıştırmak için kök gerekmez.
  • İnsanlar zayıf kimlik doğrulamasını bozabilir
  • Ubuntu kullanıcıları hemen hemen her şeyi kurmaya / çalıştırmaya ikna edilebilir
  • İçeri girdiğinde, bilgisayar korsanları spam göndermek için daha fazla yazılım yükleyebilir / uzaktan indirebilir

Burada güvenlik konusunda gerçekçi olalım . Çapraz platformlu bir Flash kullanımı, kullanıcı oturum açma sırasında çalışan bir spam arka planını yükleyerek ve yükleyerek kolayca bir damlalığa dönüşebilir. Kök ihtiyacı yok.

ISS'nin hikayesini tekrar kontrol edin

"Ama ISS'm bana yalan söylemez!" hiç kimse demedi . Pek çok ev ISS'si 25 numaralı bağlantı noktasını alışkanlıkla engeller ve diğerleri sizi SMTP sunucularını kullanmaya zorlar (bu, izin verecekleri tek p25 bağlantısıdır).

Moderatör olmak IP'nizi görmeme izin veriyor ve ben de ev ISS'nizi kontrol ettim. Adlarını ve "25 numaralı bağlantı noktasını" veya "smtp" yi google'a yazarsanız, benzer durumlarda başka birçok kişi görürsünüz. Ve merkezi bir SMTP sunucusu var.

Bunun yeni bir sorun olduğunu söylediğinizi biliyorum, ancak yalnızca ISS'nizin olmadığını (veya ISS'nizde doğru ayarlara ihtiyaç duyulduğunu) iki kez kontrol edin. Sondaki geçici çözüm hala sizin için çalışmalıdır.

Sorunu bulmak

Mümkün olsa da, hala en muhtemel hedef olduğundan emin değilim. Benim gibiyseniz, internete bağlı cihazlarla çevrilisiniz ve hepsine bakmanız gerekiyor.

ISS'den bazı kanıtlar isteyerek başlarım. Zaman damgası minimumda kalıyor ancak yanlış bir otomatik bayrak olmadığından emin olmak için ne kullandıklarını görmek harika olurdu.

  • Biri ISS'nin kötüye kullanımı departmanıyla birlikte bir iş e-postasını işaretlemiş olabilir.
  • O sırada hangi işletim sistemini kullandığınızı bilmeniz gerekir. Hem Ubuntu hem de Windows kimlik bilgileri günlükleri tutar, böylece size gönderebilecekleri kanıtlarla karşılaştırırlar.

  • Giden bağlantı noktası 25 etkinliğini şöyle bir şeyle oturum açın:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"

    Dürüst olmak gerekirse, zaten engellenmiş olursanız bunun işe yarayıp yaramayacağından emin değilim, ancak bir çekim değer. Çeşitli Windows güvenlik duvarları size çeşitli günlük seçenekleri sunar.

  • Bağlantınızdaki herhangi bir cihazın yalnızca bilgisayarınızı değil, e-posta gönderebileceğini unutmayın. Telefonlar, wifi özellikli ekmek kızartma makineleri, yaramaz komşular vb. Bunların hepsi mümkün ama arkada bir acı.

  • Daha olası caddeleri tükettikten sonra, Linux antivirüs yazılımını seçin . Şahsen bunlardan herhangi biri veya tespit oranları için konuşamam.

Hemen bir bloğun etrafında çalışmak

Devam etmeniz gerekiyorsa, e-posta göndermeye devam etmenin en kolay yolu bir tür karışık veya şifreli bağlantıdır. Bir SSH sunucusuna (örneğin iş yerinde) erişiminiz varsa, bu genellikle en iyi yöntem olabilir.

ssh -D9100 user@host

Ardından e-posta istemcinizi bir SOCKS proxy adresi localhost, bağlantı noktası kullanacak şekilde değiştirin 9100. ISS'niz buna müdahale edemeyecektir ve eğer spamı gönderen herhangi biri SOCKS konfigürasyonunu tahmin edebilirse çok şaşırırım.

Bu durumda en muhtemel olanı nedir?

ISS'nizin SMTP sunucusundan e-posta gönderebiliyor musunuz kontrol edin. Kontrol ettim, seninkide bir tane var. Tüm kullanıcılarını çok yaygın olduğu gibi kullanmaya zorluyor olabilirler. Teknik destek görevlisinin kafası karışabilir.

Şirketinizden SMTP’ye bağlanmayı denemesini başka bir kullanıcıdan (başka bir hesapta, başka bir telefon hattında) isteyin. Bu hızlıca yapılabilir telnet example.com 25.

  • Bağlanamazlarsa, bunun ISS çapında olduğunu varsayalım - yalnızca hesabınız değil - bu yüzden muhtemelen bir güvenlik sorunu değil ... Sadece en iyi çalışacağınız veya çalışacağınız bir şey.

  • Onlar ise edebilir bağlamak, geri döndük. Ağınızdan, ISS'nizi sizi engellemesi için tetikleyen bir e-posta gönderen bir şey oldu. Virüs taraması, trafik izleme ve paranoya buradaki en iyi arkadaşların.

Oli
kaynak
1
Gerçekten de, bazı ISS'ler bunu sadece politika konusu olarak engelliyor, bu yüzden en muhtemeldir ve bu yüzden kanıt istemelisiniz. Ev ağınızdaki bir şey gerçekten yayılıyorsa, bulması tam olarak kolay değildir.
psusi
Yararlı bilgiler içerdiğinden bunu bir cevap olarak kabul edeceğim. Windows kurulumumu çeşitli tarama araçlarıyla kontrol ettim ... hiçbir şey bulamadım. Çerezleri bile takip etmiyor ... Ubuntu kurulumuma gelince, sadece rkhunter aracını çalıştırdım ve hiçbir şey bulamadım ... (özel durumum için deneyebileceğim başka araçlar varsa lütfen bana bildirin)
Petsoukos
@Petsoukos Muhtemelen gerçek bir tarama antivirüsünü bir araçtan çok tercih ederim rkhunter. Belki de haksızlık ediyorum ama onları birbirleriyle aynı ligde saymıyorum.
Oli
Bu cevap, açık bir spam geçişi olma olasılığına bakar. Bu iyi bir bilgi ancak yanlış yapılandırılmış makinesini erişilebilir tutmasına yardım ediyor olabilir.
casey
@ casey Bu sonuca varmadım sorudan. Hiç. Yalnızca 25 numaralı bağlantı noktasını destekleyen bir çalışma sunucusuna bağlanmayı ...
Oli
8

Ubuntu'da enfekte olmak ve botnetin bir parçası olmak kesinlikle mümkün. Ama aynı zamanda gerçekten de pek mümkün değil.

İnternet servis sağlayıcınızdan kayıtlarını isteyebilmelisiniz. Sorunu bulmanıza yardımcı olacaklar. Buradan teşhisi zor, ama telsizinizin suçlu olma ihtimali çok yüksek. Lütfen güvenlik için WPA2 kullanıp kullanmadığınızı ve WPS'nin devre dışı bırakıldığını kontrol edin.

Sorununuzu çözdükten ve bir süre spam göndermeyi bıraktıktan sonra, ISS'nizle bağlantı noktalarınızın engelini kaldırmak için konuşabilirsiniz.

Javier Rivera
kaynak
3
"Lütfen WPA kullanıp kullanmadığınızı kontrol edin." WEP ve WPA savunmasızdır. WPA2'yi çalıştırdığınızdan emin olurdum.
MiniRagnarok
WPA2'nin daha güvenli olduğuna karar verdiğim için düzenlemiştim. Ancak AFAIK, WPA'da bilinen ve bir ağa bağlanmanıza izin verebilecek bilinen bir güvenlik açığı yoktur (bruting, kısa parolaların zorlanması ya da parolayı almak için WPS kullanılması).
Javier Rivera
ISS teknik desteğim muhtemelen onlarla konuştuğumda ne hakkında konuştuğumu bilmiyor ...
Petsoukos
5

Giden bağlantı noktasını 25 engellemek yaygın bir uygulamadır, çünkü spam nedeniyle e-postanın orijinal gönderiminde cesaretini yitirmiş olması endişelenmiştir. Hala posta sunucuları arasında kullanılıyor.

Uygun (ve genellikle engellenmeyen) E-posta gönderme (orijinal) e-posta bağlantı noktası, sözde teslim bağlantı noktası olan Bağlantı Noktası 587'dir. Posta sağlayıcıları genellikle onu destekler, sistem operatörleri genellikle onu engellemez.

fstd
kaynak
4

Birçok ISS, tüm tüketici hesapları için 25 ve 80 bağlantı noktalarını engeller. E-posta servisini içeren bir web barındırma hizmeti kullanıyorum. Giden e-posta için standart olmayan bir bağlantı noktasında bana bir smtp sunucusu sağlarlar. Her yerde çalışıyor. Benzer bir şeye erişiminiz olabilir. Hangi hizmetlere sahip olduğunuzu düşünün ve bunları araştırın.

üzüm posası
kaynak
2

Diğer cevapların birçoğu wifi kullanarak veya makinelerinize bulaşan birine odaklanır. Bunlar mümkün, ancak en basit açıklamayı görmezden geliyorlar (Occam'ın ustura ...).

Büyük olasılıkla açık bir röle görevi görüyorsunuz, bu da dünyadaki herhangi bir kişinin makinenize bağlanabileceği ve sadece bir yere güzel bir şekilde posta göndermesini isteyebileceği anlamına geliyor ve hiçbir soru sorulmuyor. Bu, ISS’lerin sizi engellemesinin sık sık nedeni budur çünkü bu onlar için basit bir testtir. Müşteri IP bloklarını tarayacaklar ve 25 numaralı bağlantı noktasındaki herhangi bir test iletisini iletmelerini isteyeceklerdir ve yaparsanız spam gönderiyorsunuz. Aslında hiç kimsenin rölenizi kullanmıyor olması olabilir, ancak sadece varlığı engellenmek için yeterli.

Açık bayrak olup olmadığınızı test etmek için posta sunucunuza telnet gönderin ve onunla konuşun. Kalın çizgiler yazdığınız çizgilerdir.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

Yazdığınız hatlardır helo, mail from:ve rcpt to:çizgiler. Yerel olmayan adresleri kullandığınızdan emin olun, her ikisinin de uzak ana bilgisayar olması gerekir. Hatayı almazsanız 554 relay denied, yanlış yapılandırılmış bir spam ağ geçidi ve haklı olarak engellenirsiniz.

Bunu düzeltmenin en basit yolu, MTA'nız üzerinden posta göndermek için kimlik doğrulaması gerektirmesidir. Bunu ayarlamak için ayrıntılar, çalıştırmakta olduğunuz MTA'ya, sorunuzda olmayan bir ayrıntıya bağlıdır.

casey
kaynak
Bu durumda ev makinemde yüklü olmayan bir posta sunucum olması gerektiğini düşünüyorum. Doğru? Makinemden posta sunucusu olarak göndermeye çalışmıyorum, bunun yerine gerçek uzak (site dışı) sunucuma bağlanmaya çalışıyorum.
Petsoukos
0

Sadece Linux kutunuzda veya ağınızda çalışan kötü bir şey olmadığından emin olmak için.

Ağınızı kendiniz kontrol edin

Bunu evde Linux makinenizde çalıştırarak başlayın:

netstat -ta

Bu, kurulan veya dinleyen tüm tcp bağlantılarını listeler (arkasındaki sunucularla birlikte). Beklemediğiniz bir şey varsa, daha fazla araştırmalısınız.

Açıkça tuttukları internet bağlantısı olan tüm işlemleri listeleyen çok faydalı bir komut ise:

sudo lsof -i

( lsofpaketin kurulu olması gerekir.)

Yukarıdaki testler olacağı Not değil telefon, tablet, internet özellikli araçlar vb Oli belirtildiği gibi bağlantınıza pigybacking komşuları: İnternet bağlantısı paylaşımını diğer aygıtları kapsamaktadır. Dahili IP'lerin bir listesine sahipseniz, Linux kutunuzdan her birinde birer birer harici port taraması yapabilirsiniz:

sudo nmap <internal-ip-address>

( nmappaketi gerektirir ). Farkında olamayacağınız çeşitli cihazlarda açık olan portları ve hizmetleri açığa çıkarabilir.

arielf
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.