Server infettato Centos 5?

[lady R]

Ho un problema credo gravissimo con il mio server VPS CentOS 5

Ho configurato da poco la posta in modo che utilizzasse il mio server invece dei DNS aruba, e ho installato AtMail per la gestione della posta per gli utenti.
Da quel giorno ho iniziato a ricevere e-mail del genere:
Citazione

Hi. This is the qmail-send program at 62.149.165.196.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<jrossouw@aasa.co.za>:
41.208.10.148 does not like recipient.
Remote host said: 550 zen.spamhaus.org http://www.spamhaus.org/query/bl?ip=62.149.165.196
Giving up on 41.208.10.148.

--- Below this line is a copy of the message.

Return-Path: <anonymous@62.149.165.196>
Received: (qmail 18409 invoked by uid 48); 12 Aug 2011 1010 +0200
Date: 12 Aug 2011 1010 +0200
To: jrossouw@aasa.co.za
Subject: Invalid Receipt Type
From: Nedbank <itfs@nedbank.co.z>
Message-Id: <130746503.462@nedbank.co.z>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit


<html>
<head>
</head>

E altre del genere:
Citazione

Hi. This is the qmail-send program at 62.149.165.196.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<jskea@mweb.co.za>:
196.28.76.20 does not like recipient.
Remote host said: 550 Helo command rejected: Access-Denied (62.149.165.196)
Giving up on 196.28.76.20.

--- Below this line is a copy of the message.

Return-Path: <anonymous@62.149.165.196>
Received: (qmail 19534 invoked by uid 48); 12 Aug 2011 1010 +0200
Date: 12 Aug 2011 1010 +0200
To: jskea@mweb.co.za
Subject: Invalid Receipt Type
From: Nedbank <itfs@nedbank.co.z>
Message-Id: <130746503.481@nedbank.co.z>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit


<html>
<head>
</head>

<body style="font-family:Verdana, Geneva, sans-serif; font-size:13px;">
Dear Client,
<br><br>
A payment has been made to your account. To view the details of the payment, please
<a href="www.rosmedia.nl - binnenkort online met nieuwe website en nieuwe diensten." title="logon">click here to login.</a> Please ensure that you enter the Reference NO that will be sent to your cell phone immediately after your login
<br><br>
If you have any questions or would like more information, please contact our support centre
<br><br>
</body>
</html>

Ho poi ricevuto un messaggio da rkhunter:
Citazione

Please inspect this machine, because it may be infected.

Accedendo da SSH ho provato ad eseguire rkhunter -c ma diceva che non era installato, quindi l'ho installato, e mi restituisce alcuni Warning

Codice:

Checking for prerequisites                               [ Warning ]

.......

Checking for enabled xinetd services                     [ Warning ]

Performing Linux specific checks
    Checking loaded kernel modules                           [ Warning ]
    Checking kernel module names                             [ Skipped ]

e questo....
Citazione

Watchdog was stopped at Aug 15, 2011 01:00 AM.

Security scans number: 1.

Events:
[Aug 8, 2011 01:00 AM] Security scanning report is in the file /usr/local/psa/var/modules/watchdog/report/security_2011-08-08.

Chiedendo aiuto ad Aruba mi han detto:
Citazione

Riguardo i messaggi anomali riscontrati, è necessario che venga eseguita una più dettagliata verifica sui files di log (il nostro personale non fornisce questo genere di assistenza né è a conoscenza dei contenuti del server), l'IP indicato risulta infatti listato in blacklist su CBL con la motivazione
IP Address 62.149.165.196 is listed in the CBL. It appears to be infected with a spam sending trojan or proxy.
Qualora non fosse possibile risalire alla causa, è consigliato richiedere il reset del sistema allo stato iniziale.

Ditemi che sapete aiutarmi

Ciao...


PS: cercando ho trovato questo [SOLVED] CBL Keeps Listing
ho rimosso dalla whitelist quell'IP ma non cambia niente

ormai avrò 250 email di questo tipo...

[WizOfOz]

Purtroppo la cosa migliore è proprio quella che ti ha suggerito Aruba... riformatta e reinstalla tutto controllando il codice che vai a mettere nei siti...
I siti sono tuoi o di clienti? perché in quest'ultimo caso dovrebbero controllarseli loro (a meno che tu non voglia fare il lavoro gratis)

[Redpitt]

Ciao.

Sei finita nelle real time blocklist perché il tuo server di posta è stato identificato come un open relay oppure come un sistema da cui parte dello SPAM.

Se non ne hai la diretta responsabilità (dunque se non sei tu direttamente che fai spam ) è probabile che qualcuno abbia bucato qualche tuo sito e lo stia sfruttando per inviare SPAM.

E' chiaro che potrebbe anche essere qualcosa di più grave, ma prima di tutto controlla i siti!

Il fatto di ricevere warning da rkhunter, beh... dipende da che tipo di warning ricevi. magari postaci il file di log intero qui e vediamo di capire se è proprio così grave...

[lady R]

Sul sito gli unici script che girano sono Joomla 1.7, phpBB3.0.9, atMail, AjaxExplorer e AjaxFB 3.0.5.

I siti sono tutti gestiti da me.

Ecco il log di rkhunter:
http://www.allise.net/rkhunter.log

Vorrei evitare di formattare, dopo tutto il casotto che ho fatto per far funzionare tutto correttamente

[Redpitt]

Il log non sembra riportare cose così gravi (tipo backdoor, trojan, file di sistema modificati o processi strani).

L'e-mail di avviso ti è arrivata per questo motivo:

[01:01:20] Checking if the O/S has changed since last time...
[01:01:20] Warning: The system has changed to using prelinking since the last run.
[01:01:21] Because of the change(s) the file properties checks may give some false-positive results.
[01:01:22] You may need to re-run rkhunter with the '--propupd' option.

La causa più probabile è che hai eseguito qualche aggiornamento di CentOS e non hai lanciato rkhunter con l'opzione --propupd a valle dello stesso.

Non credo sia il caso di formattare.

Magari verifica che il comando "ps aux" non riporti processi inconsueti.
Se credi che gli applicativi che citi (Joomla, phpBB, ecc) non siano stati bucati (cambia cmq per sicurezza tutte le password di amministratore nei vari pannelli di backend), allora è possibile che ti abbiano messo qualche file "apposito per spammare" in FTP.

Per scovare se è questo il problema, puoi:

- controllare i log di accesso di Apache, per vedere se vi sono numerose chiamate a script che non ricordi di aver caricato
- controllare i log FTP e verificare se vi sono nuovi file caricati che tu non ricordi di aver messo.

[FlameNetworks]

Ci risiamo...la soluzione si chiama SERVER MANAGED.

[TheVice]

Magari hai "solo" il server di posta configurato male (Open Relay)
Inizia a verificarlo qui :

Mail relay testing

in caso affermativo sarai "crocefisso/a in sala mensa" ! ma almeno inizierai a vedere il problema e a documentarti per risolverlo.

Concordo comunque con quanto scritto sopra da Fabrizio.

[Uno]

(cambia cmq per sicurezza tutte le password di amministratore nei vari pannelli di backend)

Più che per sicurezza è utile per tenere in movimento le dita 5 minuti... a meno che non sia stata la banda bassotti a bucare il server .

[lady R]

@FlameNetworks: sono stata da poco assunta in un'azienda come Web Designer e Digital Artist, però il mio compito è anche quello di gestire alcuni servers e dare una mano al sistemista dell'azienda.

Questo mio VPS privato lo uso principalmente per imparare ciò che mi serve per non perdere il posto di lavoro.
Se me lo gestisse qualcun altro non me ne farei niente e a questo punto mi terrei un hosting qualunque...

Comunque sto provando a fare il test che mi avete consigliato ma inviando una mail a new@abuse.net non mi ha ancora risposto nessuno...

Grazie ^.^

[FlameNetworks]

@FlameNetworks: sono stata da poco assunta in un'azienda come Web Designer e Digital Artist, però il mio compito è anche quello di gestire alcuni servers e dare una mano al sistemista dell'azienda.

Questo mio VPS privato lo uso principalmente per imparare ciò che mi serve per non perdere il posto di lavoro.
Se me lo gestisse qualcun altro non me ne farei niente e a questo punto mi terrei un hosting qualunque...

Ok, ma non vedo la necessità di utilizzare un VPS esposto su Internet.
Ti bastava semplicemente utilizzare vmware e crearti un sistema virtuale sul tuo pc, senza correre rischi inutili.

[lady R]

si ma già che mi serviva un sito e visto il mio masochismo intrinseco nel complicarmi la vita, mi è sembrata la cosa migliore...

aiuto riguardo al test?

[TheVice]

@FlameNetworks: sono stata da poco assunta in un'azienda come Web Designer e Digital Artist, però il mio compito è anche quello di gestire alcuni servers e dare una mano al sistemista dell'azienda.

Questo mio VPS privato lo uso principalmente per imparare ciò che mi serve per non perdere il posto di lavoro.
Se me lo gestisse qualcun altro non me ne farei niente e a questo punto mi terrei un hosting qualunque...

Comunque sto provando a fare il test che mi avete consigliato ma inviando una mail a new@abuse.net non mi ha ancora risposto nessuno...

Grazie ^.^

Ok ... ti spiego come fare il test visto che ho appena cenato a base di peperoni e si sa che i peperoni sono come certe situazioni: ti ritornano in gola anche al mattino del giorno dopo e con una brutta nottata alle spalle.
The Easy Way:
1) Da quel sito che ti ho postato scrivi nella casella "Address to Test" l'indirizzo IP della tua VPS
2) Clicca sul bottone test for relay e attendi che venga fatto il test.

@Fabrizio : ti do ragione in linea di principio però ti posso dire che se avessi fatto la cosa più sensata e da te suggerita tante cose non le avrei di certo imparate. A me è andata abbastanza bene ... ma solo perchè ho dovuto imparare piuttosto in fretta e continuare ad imparare ancora (come in ogni attività)
Alla fine del test vedi cosa viene fuori.

[lady R]

non ho idea di cosa voglia dire

Connecting to allise.net for anonymous test ... <<< 220 rblsmtpd.local
>>> HELO Abuse.net: Home Page
<<< 250 rblsmtpd.local

Relay test 1

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@abuse.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 2

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest>
<<< 250 rblsmtpd.local
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 3

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<>
<<< 250 rblsmtpd.local
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 4

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 5

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@[62.149.128.151]>
<<< 250 rblsmtpd.local
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 6

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<securitytest%abuse.net@allise.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 7

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<securitytest%abuse.net@[62.149.128.151]>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 8

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<"securitytest@abuse.net">
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 9

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<"securitytest%abuse.net">
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 10

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<securitytest@abuse.net@allise.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 11

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<"securitytest@abuse.net"@allise.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 12

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<securitytest@abuse.net@[62.149.128.151]>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 13

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<@allise.net:securitytest@abuse.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 14

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<@[62.149.128.151]:securitytest@abuse.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 15

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<abuse.net!securitytest>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 16

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<abuse.net!securitytest@allise.net>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test 17

>>> RSET
<<< 250 rblsmtpd.local
>>> MAIL FROM:<spamtest@allise.net>
<<< 250 rblsmtpd.local
>>> RCPT TO:<abuse.net!securitytest@[62.149.128.151]>
<<< 553 Blocked by PBL http://www.spamhaus.org/query/bl?ip=64.57.183.77
Relay test result

All tests performed, no relays accepted.

[FlameNetworks]

La risposta è "ni". Nel senso che anche io ho dovuto (o voluto?) imparare piuttosto in fretta e tutt'ora sono "costretto" ad aggiornarmi/studiare.

Però devi essere consapevole che, senza esperienza, rischi di fare danni agli altri e devi comunque assumerti ogni responsabilità invece di fare lo gnorri.

Aggiungo: ma perchè noi dobbiamo buttare il sangue ad imparare (soprattutto dai nostri errori) e poi (non me ne voglia lady R, non credo sia il suo caso) qualcuno viene tomo tomo cacchio cacchio a chiedere aiuto/soluzioni aspettandosi che le risposte gli siano dovute.

Per la serie: ti è piaciuta la bicicletta? E mò pedala!

[lady R]

Per la serie: ti è piaciuta la bicicletta? E mò pedala!

[cit]Pubblicità degli zaini in TV[/cit] hihih

Comunque, il log che dice?...