Problema com spam

[TheHawk]

Olá amigos estou enfrentando um problema serio em meu servidor apache, aparentemente estão usando meu server apache para enviar e-mails... segue abaixo uma linha de log do meu sistema:

218.171.141.181 - - [13/Sep/2006:08:36:34 -0300] "CONNECT smtp.pchome.com.tw:25 HTTP/1.0" 405 234 "-" "-"

Estão enviando e-mails principalmente para o yahoo.... estão conseguindo conectar no meu q-mail que roda nessa mesma maquina atraves do apache... alguem sabe uma forma de bloquear isso? aguardo retorno.

[douglas_web]

Cara,

Como assim roda através do apache?
Se desconhecidos estão conseguindo se conectar no seu equipamento, verifique se as configurações do qmail realmente estão somente locais e não existe nenhuma possibilidade de conexão externa (por exemplo, tente se conectar da rede interna mesmo - não deveria funcionar, neste caso).

Se estão se conectando, eu lhe pergunto : Seu servidor de emails é MX? tem necessidade da porta estar aberta na internet ou dá pra fechar com firewall?

Explique melhor.

[TheHawk]

Olá douglas, meu server é MX sim... não posso fechar a porta dele.... o que está acontecendo é que estão se conectando ao meu apache e enviando e-mail pelo meu qmail... que roda na mesma maquina..... agora pela manhã existiam mais de 22000 mensagems no queue do meu qmail.... olhei os logs do meu qmail e vi que não existem ali conexões pela porta smtp(meu servidor tem o relay fechado apenas para determinados ips).... ou seja de alguma forma estão usando o meu apache e o php para enviar mails pelo servidor web.... e quem faz a entrega das mensagems é o meu qmail..... o unico local onde constam conexões estranhas a porta 25 é nos logs do apache.... nos logs do qmail está tudo bem bonitinho.... essa linha que mostrei é apenas uma de muitas linhas no log do server, aguardo retorno

[TheHawk]

Só para constar... como solução temporaria eu fechei o acesso a porta 80 do meu server para ips internacionais... deixando apenas os ips nacionais abertos enquanto eu resolvo esse problema.... aguardo retorno.

[douglas_web]

Olha Hawk, vamos ver se tenho como lhe ajudar ...

Então você tem algum serviço rodando em php que conecta no seu qmail, certo?

Seu servidor de emails é MX.ok.

-- Pelo jeito eles conseguem enviar via php no CONNECT. Tem como atualizar o php no equipamento, só por via das dúvidas? É uma boa tentativa, por enquanto. Teoricamente, só quem teria que usar CONNECT no php é só o localhost, ou estou errado?
Pode ser então que consiga barras as tentativas de conexão de domínios .tw. Uma idéia.

-- O log do qmail não diz nada? não tem nenhuma referência a IP externo? ele conecta local mesmo (acho que sim, né : ops: )

-- Seu problema pode estar também no código da página, é uma possibilidade.

-- Você tem regras de RBL no qmail ?

Vamos por partes.

Tentemos.

[TheHawk]

Olá.... a pagina é feita em phpnuke... e nela não existe nenhum form de envios de e-mal... está protegida pelo nuke sentinel.... não achei nada de estranhos nos logs desse site... eu tenho logs do apache individuais por site e um log default que mostra requisições feitas ao apache e que não se enquadram em nenhum dos sites hospedados(extamente nesses logs estavam as requisições... ou seja o ataque não foi a nenhum site hospedado), o php foi atualizado hoje, utilizei o apt-get e atualizei toda a distribuição..... inclusive o apache foi atualizado... nos logs do qmail a conexão é local mesmo... via apache... e sim utilizo regras RBL no meu qmail.... o RBL checa numas 7 listas anti-spam... tenho meu relay fechado por ip, aceitando conexões apenas do meu provedor... mas eu olhei e não é nenhum ip do meu provedor conectando... são ips internacionais.... por isso eu bloqueei o acesso para faixas internacionais na minha porta 80 temporariamente.

[douglas_web]

É claro que vc já tem o módulo mod_security instalado no apache né?

(foi só um comentário, estou tentando ajudar - eu sei que está preocupado

Você já tentou rodar o nikto pra dar uma olhada nas vulnerabilidades de configuração do apache?

http://www.howtoforge.com/apache_sec...ing_with_nikto

De-repente aí vc já mata.

Não digo que seja a solução, porque vai mostrar a vulnerabilidade mas não a solução. Mas de-repente pode ser uma luz.

[TheHawk]

Olá douglas, vou fazer esse teste depois..... não estou podendo instalar tudo isso agora... mas é um bom começo..... me disseram q o mod_proxy é q é o responsavel por fazer o apache funcionar como proxy... mas no meu caso não tenho o mod_proxy rodando.... irei ver a questão do mod_security, não tenho certeza se instalei ele.... obrigado pelas dicas e volto a responder aqui assim que tiver alguma posição, até mais.

[douglas_web]

é, e eu acho que rodar um proxy neste equipamento seria uma má idéia, pq vc poderia acabar sendo atacado para usarem seu proxy

fique à vontade, vai trabalhar

tamos aí.

[TheHawk]

é, e eu acho que rodar um proxy neste equipamento seria uma má idéia, pq vc poderia acabar sendo atacado para usarem seu proxy

fique à vontade, vai trabalhar


tamos aí.

O que eu quis dizer é que o apache trabalha como proxy quando está com o mod_proxy instalado, mas não é o meu caso..... nessa maquina só roda server web e email... até.

[TheHawk]

Olá douglas, eu estava sem o mod_security instalado, apos a instalação do mesmo não tive mais problemas com spam pelo apache, todas as requisições a porta 25 que são passadas pelo apache estão sendo bloqueadas, obrigado pela dica e até mais.