Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Hej,
Zachodzę w głowę i brak mi pomysłów. Mam system pocztowy postfix, dovecot, roundcube. Wszystkie paczki mam aktualne i mam problem.
Jeden z 400 użytkowników rozsyła mi spam co 1 tydzień lub dwa tygodnie. Wygląda na sierotę, żeby to sam robił. Kolejka rośnie do ponad 2000 tyś email. Wyłapuję to i blokuję, ale dlaczego tak się dzieje. Przetrzepałem mu wszystkie urządzenia, komputer stacjonarny z Window, laptopa z MacOS, telefon z Windows8. Po zablokowaniu i zmianie hasła pomaga na jakiś czas. Użytkownik twierdzi, że nie zmienia jasła na takie co miał, ale mu nie wierzę więc sprawdzam hasła w bazie. Serwery też sprawdziłem są czyste. Dzieje się tak w przypadku jednej osoby reszta pracuje bez problemów. Jak mogę go jeszcze namierzyć skąd następuje atak i włamanie. W logach mam jego ip z vectra, od nas z roboty i z sieci komórkowej, są jakieś wpisy login filed , ale za boga nie mogę tego znaleść z czego dochodzi do ataku. Próbowałem, eliminować urządzenia, zabrałem komputer stacjonarny było rozsyłanie spamu, zabrałem laptopa też była akcja z rozsyłaniem spamu, telefonu nie mogę zabrać bo to prywatny.
Może macie jakieś pomysły co ustawić co sprawdzić, bo mi już się skończyły pomysły.
Dzięki serdeczne za pomoc.
Offline
3232
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:46:14)
Offline
W Postfixie i Dovecocie da się włączyć dodatkową autoryzację przez certyfikaty X509/PKCS#12.
Byłoby z tym trochę gimnastyki na początku, ale na problem wyciekających haseł sprawa idealna, skuteczność 100/100.
Względnie zrób pacjentowi 3 skrzynki pocztowe, żeby na każdym urządzeniu miał inne hasło, wtedy przynajmniej się dowiesz, o które urządzenie i o który system chodzi.
SSL na SMTP, POP3 i IMAP masz ustawione jak, można się logować bez SSL/TLS?
W Postfixie masz przy smtp_tls may czy encrypt.
Zrobiłbym też osobne hasło do Dovecota a osobne do Postfixa, jak np używasz PAM z SQL czy sam SQL, to jest bułka z masłem.
To też może mocno rozjaśnić sytuację.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2016-10-16 18:27:22)
Offline
Musi mieć jakiś syf na komputerze. Ewentualnie ma hasło słownikowe łatwe do złamania. Obstawiam:
laptopa z MacOS[/quote]
Ile razy słyszałem od użytkowników apple, że mają czysty komputer a spam i tak leciał.
[img]https://l0calh0st.pl/obrazki/userbar.png[/img]
Offline
A nie możesz mu włączyć limitu wysyłanych wiadomości np do 50 dziennie a jak przekroczy bloker w danym dniu i dopóki nie usunie tak będzie codziennie
Offline
komputery skanowałem osobiście, są czyste to co było usunięte. Z MacOS nie jest tak strasznie można go zeskanować ładnie. Korzystamy głównie z przeglądarki nie mamy klientów pocztowych. W domu Pani ma laptopa MacOS i telefon, w pracy stacjonarny innych urządzeń nie podała.
@kiko80 dobry pomysł, jak to można zrobić ? postfix działa z mysql
Offline
Limit maili per IP?
Artystyczna rzeźba w Perlu Cię nie minie, chyba że użyjesz gotowca:
http://www.lemat.priv.pl/index.php?m=page&pg_id=160
Tu sam skrypt:
http://www.lemat.priv.pl/pliki/policyd-lemat2
PS.
Jak zrobisz babce osobne hasła per/urządzenie (w SQL bułka z masłem), to się dowiesz, co jest grane - które diabelstwo handluje hasłami.
Robisz w tabeli mailbox trzy skrzynki z lokalizacją w jednym folderze, albo dodatkowe skrzynki na dyziu linkujesz do oryginalnej, i masz trzech pacjentów do jednej skrzynki.
Potem logowanie zapisujesz do pliku logu, i widzisz, które urządzenie się zbyt często logowało do SMTP.
Musisz tylko pozwolić, żeby ze wszystkich trzech skrzynek dało się wysyłać na jednym adresie - tym oryginalnym, przy różnych danych logowania.
W każdym razie to jest wykonalne na kilka różnych sposobów.
komputery skanowałem osobiście, są czyste to co było usunięte.[/quote]
Oznacza nie, że są czyste, tylko że antywir więcej nie rozpoznał.
To ZASADNICZA różnica.
Chociaż najprawdopodobniej nie masz szyfrowania wymuszonego na poczcie, i np telefon czy tablet loguje się bez szyfrowania, a dsniff może sobie pracować w shakowanym routerze.
Jak często ludzie sprawdzają sumy kontrolne wszystkich plików w systemie routera?
PozdroOstatnio edytowany przez Jacekalex (2016-10-16 23:38:39)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
dzięki za info coś pokombinuję w tą stronę.
Offline
[quote=redelek]dzięki za info coś pokombinuję w tą stronę.[/quote]
Rzuć okiem na to:
https://blog.fortinet.com/2016/10/12/home-routers-new-favorite-of-cybercriminals-in-2016
I wymuś połączenia SLL/TLS na poczcie i wszystkich logowanych usługach, NATYCHMIAST.
Offline
Time (s) | Query |
---|---|
0.00006 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00049 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.12.181' WHERE u.id=1 |
0.00080 | UPDATE punbb_online SET logged=1732237856 WHERE ident='18.117.12.181' |
0.00038 | SELECT * FROM punbb_online WHERE logged<1732237556 |
0.00062 | SELECT topic_id FROM punbb_posts WHERE id=306043 |
0.00060 | SELECT id FROM punbb_posts WHERE topic_id=29054 ORDER BY posted |
0.00070 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29054 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00065 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29054 ORDER BY p.id LIMIT 0,25 |
0.00118 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29054 |
Total query time: 0.00557 s |