สงสัยเครื่องโดนแอบส่ง spam

ICOM · October 28, 2007, 10:07am

เมื่อวานเห็น เห็นกราฟ mrtg แปลกๆ เลย ssh เข้า server ดู log ไปทั่วๆ
ไปเจอ maillog ที่ผิดปรกติ มีคนส่งเมลออกไป yahoo ถี่มากๆ

Oct 28 09:50:03 ns3 qmail: 1193539803.065332 new msg 7700578
Oct 28 09:50:03 ns3 qmail: 1193539803.065369 info msg 7700578: bytes 4047 from <imor@www.korattown.com> qp 22459 uid 2020
Oct 28 09:50:03 ns3 qmail: 1193539803.069087 starting delivery 728: msg 7700578 to remote rcta@yahoo.com.tw
Oct 28 09:50:03 ns3 qmail: 1193539803.069102 status: local 0/10 remote 14/20
Oct 28 09:50:03 ns3 qmail: 1193539803.069111 starting delivery 729: msg 7700578 to remote gleny0923@yahoo.com.tw
Oct 28 09:50:03 ns3 qmail: 1193539803.069119 status: local 0/10 remote 15/20
Oct 28 09:50:03 ns3 qmail: 1193539803.071991 starting delivery 730: msg 7700578 to remote i11330514@yahoo.com.tw
Oct 28 09:50:03 ns3 qmail: 1193539803.072019 status: local 0/10 remote 16/20
Oct 28 09:50:03 ns3 qmail: 1193539803.072130 starting delivery 731: msg 7700578 to remote charlesscorpio@yahoo.com.tw
Oct 28 09:50:03 ns3 qmail: 1193539803.072141 status: local 0/10 remote 17/20
Oct 28 09:50:03 ns3 qmail: 1193539803.073316 starting delivery 732: msg 7700578 to remote s19800216@yahoo.com.tw
Oct 28 09:50:03 ns3 qmail: 1193539803.073341 status: local 0/10 remote 18/20
Oct 28 09:50:03 ns3 qmail: 1193539803.075746 starting delivery 733: msg 7700578 to remote t75611126@yahoo.com.tw
Oct 28 09:50:03 ns3 qmail: 1193539803.075774 status: local 0/10 remote 19/20
Oct 28 09:50:03 ns3 qmail: 1193539803.077037 starting delivery 734: msg 7700578 to remote sxwv@yahoo.com.tw

อันนี้แค่ตัวอย่างแค่ 1 msg ครับ ของจริง นาทีละเป็น 10-20 ชุด
แล้วก็จะมี ข้อความตีกลับ

Oct 28 09:50:08 ns3 qmail: 1193539808.973295 status: local 0/10 remote 20/20
Oct 28 09:50:09 ns3 qmail: 1193539809.044308 delivery 745: deferral: 203.188.197.9_failed_after_I_sent_the_message./Remote_host_said:451_Message_temporarily_deferred-[200]/
Oct 28 09:50:09 ns3 qmail: 1193539809.044337 status: local 0/10 remote 19/20
Oct 28 09:50:09 ns3 qmail: 1193539809.187686 delivery 740: deferral: 203.188.197.9_failed_after_I_sent_the_message./Remote_host_said:451_Message_temporarily_deferred-[200]/
Oct 28 09:50:09 ns3 qmail: 1193539809.187710 status: local 0/10 remote 18/20
Oct 28 09:50:09 ns3 qmail: 1193539809.305822 delivery 744: deferral: 203.188.197.9_failed_after_I_sent_the_message./Remote_host_said:451_Message_temporarily_deferred-[190]/
Oct 28 09:50:09 ns3 qmail: 1193539809.305846 status: local 0/10 remote 17/20
Oct 28 09:50:10 ns3 qmail: 1193539810.574221 delivery 739: success: 203.188.197.9_accepted_message./Remote_host_said:250_ok_dirdel/
Oct 28 09:50:10 ns3 qmail: 1193539810.574256 status: local 0/10 remote 16/20
Oct 28 09:50:10 ns3 qmail: 1193539810.973417 delivery 748: deferral: 203.188.197.9_failed_after_I_sent_the_message./Remote_host_said:451_Message_temporarily_deferred-[200]/
Oct 28 09:50:10 ns3 qmail: 1193539810.973450 status: local 0/10 remote 15/20
Oct 28 09:50:12 ns3 qmail: 1193539812.115776 delivery 747: deferral: 203.188.197.9_failed_after_I_sent_the_message./Remote_host_said:451_Message_temporarily_deferred-[200]/
Oct 28 09:50:12 ns3 qmail: 1193539812.115807 status: local 0/10 remote 14/20
Oct 28 09:50:12 ns3 qmail: 1193539812.448719 delivery 746: deferral: 203.188.197.9_failed_after_I_sent_the_message./Remote_host_said:451_Message_temporarily_deferred-[200]/
Oct 28 09:50:12 ns3 qmail: 1193539812.448742 status: local 0/10 remote 13/20
Oct 28 09:50:12 ns3 qmail: 1193539812.467839 delivery 749: deferral: 203.188.197.9_failed_after_I_sent_the_message./Remote_host_said:451_Message_temporarily_deferred-[200]/
Oct 28 09:50:12 ns3 qmail: 1193539812.467858 status: local 0/10 remote 12/20
Oct 28 09:50:14 ns3 qmail: 1193539814.252016 delivery 731: success: 203.188.197.9_accepted_message./Remote_host_said:250_ok_dirdel/
Oct 28 09:50:14 ns3 qmail: 1193539814.252048 status: local 0/10 remote 11/20
Oct 28 09:50:15 ns3 qmail: 1193539815.855010 delivery 728: deferral: 203.188.197.9_failed_after_I_sent_the_message./Remote_host_said:451_Message_temporarily_deferred-[200]/
Oct 28 09:50:15 ns3 qmail: 1193539815.855037 status: local 0/10 remote 10/20
Oct 28 09:50:17 ns3 qmail: 1193539817.242696 delivery 730: deferral: 203.188.197.9_failed_after_I_sent_the_message./Remote_host_said:451_Message_temporarily_deferred-_[200]/

ข้อมูลเพิ่มเติม
บน cp ผมตั้งค่าของ relaying เป็น

Pantiphost.com · October 28, 2007, 10:15am

imor@www.korattown.com

ICOM · October 28, 2007, 10:17am

[quote author=Pantiphost.com link=topic=8432.msg80717#msg80717 date=1193541317]
imor@www.korattown.com

sheroku · October 28, 2007, 10:20am

http://help.yahoo.com/l/us/yahoo/mail/postmaster/postmaster-25.html
น่าจะโดน relay

qmail ลองตามนี้ดูครับ
http://jeremy.kister.net/howto/dk.html

ICOM · October 28, 2007, 10:34am

นั้นแหละครับ ถึงต้องรีบหาวิธีแก้ที่ต้นตอครับ
เพราะสังเกตว่าเริ่มมี ส่งไปที่ gmail บ้างแล้ว

sheroku · October 28, 2007, 10:53am

http://kb.swsoft.com/en/1711,
http://kb.swsoft.com/en/1394
http://kb.swsoft.com/article_22_1394_en.html

ICOM · October 28, 2007, 11:00am

ขอบคุณ คุณ sheroku มากครับ
เดี๋ยวนั่งแปลก่อนครับ

Pantiphost.com · October 28, 2007, 1:03pm

ลองเอาอันนี้ไปใช้ดูครับ
http://www.pantiponline.com/anti-spam.tar.gz

คุณจักรกฤช เคยเอาไปลองใช้ ดีไม่ดี ลองถามดูครับ
เป็น script ของต่างประเทศนะครับ มีวิธีการติดตั้งบอกอยู่ในนั้นเลยครับ

ICOM · October 28, 2007, 1:08pm

ผมว่า โดนยิง script มาจากที่อื่นแล้วล่ะครับ
เพราะ disable domain ทุก domain บน server แล้ว
mail ยังวิ่งออกไป yahoo.com.tw ไม่หยุด
ในขณะที่ mail อื่นๆ หยุด รับ-ส่ง หมดแล้ว

ลองทำตาม http://kb.swsoft.com/en/1711
ดูแล้ว ไม่เกิดผลลัพธ์อะไรเลย ใน log
ซึ่งใน document อะธิบายว่า

If you see no output from the command above, it means that no mail was sent using PHP mail() function from the Plesk virtual hosts directory.

หมายความว่า เขา ไม่ได้ส่งเมลออก โดย mail() ของ PHP บน server เราใช่ไหมครับ

เพิ่มเติม : ขอบคุณคุณ pantiphost ครับ

bunpot · October 28, 2007, 1:18pm

อืม…เข้ามาติดตามการแก้ปัญหาของพี่ธีครับ

Pantiphost.com · October 28, 2007, 2:18pm

ถ้ามัน relay มาจากที่อื่น
งั้นลอง ปิด open relay ดูครับ

siamecohost · October 28, 2007, 2:30pm

ใจตรงกันกับคุณสมชาย… ผมก็คิดว่าจะบอกให้พี่ธีลองปิด open relay ดู หากว่ามีการแอบบส่งเมล์จากภายนอก server น่าจะช่วยได้ครับ

bestthaihost · October 28, 2007, 4:05pm

โดน ส่งผ่านทาง form mail ป่ะครับ อาการแบบนี้ ผมเคยเจอ

ต้องลง mod_security ด้วยครับ
ถึงจะแก้ได้อยู่หมัด

Jimmy · October 28, 2007, 4:35pm

น่าจะเป็นการ submit จาก form ที่มีการส่งอีเมล์ แล้วแทรกในส่วนของ e-mail แล้ว เพื่อให้ CC หรือ Bcc ไปยังเมล์อื่นด้วยการหลอกส่วน header ที่ส่งไปให้กับ php mail()


SecFilterSelective THE_REQUEST "bcc:|Bcc:|BCc:|BCC:|bCc:|bCC:|bcC:|BcC:"
SecFilterSelective "ARG_email" "MIME-Version" log,deny
SecFilterSelective "ARG_email" "Message-ID" log,deny
SecFilterSelective "ARG_email" "boundary=" log,deny
SecFilterSelective "ARG_email" "Content-Type" log,deny
SecFilterSelective "ARG_email" "Content-Transfer-Encoding" log,deny
SecFilterSelective "ARG_email" "User-Agent" log,deny
SecFilterSelective "ARG_email" "X-Accept-Language" log,deny
SecFilterSelective "ARG_email" "DOCTYPE HTML" log,deny
SecFilterSelective "ARG_email" "X-Accept-Language" log,deny
SecFilterSelective "ARG_email" "\x0a" log,deny
SecFilterSelective "ARG_email" "\x0d" log,deny
SecFilterSelective "ARG_email" "bcc:" log,deny

ICOM · October 28, 2007, 7:49pm

ขออภัย ในความต่อเนื่องครับ
พอดีบ่ายมีภาระกิจสำคัญต้องออกไปข้างนอกครับ ระหว่างนี้ก็ stop smtp server ไว้ครับ
ไม่งั้น mail วิ่งออกเป็นหมื่นฉบับแน่ๆ

close Relaying แล้ว mail ก็ยังวิ่งออกอยู่ครับ

ไม่น่าไช่ครับ เพราะ disable domain ทั้งหมดบน server แล้ว ยังมีเมลวิ่งออกอยู่เลยครับ

ถ้าเป็นอย่างนี้ ผม disable domain ทั้งหมดบน server แล้ว เมลน่าจะหยุดการทำงานไหมครับ

พยายามลองอยู่ครับ แต่ยังไม่รู้จะติดตั้งไปที่ไหน ลอง
/usr/bin/
/usr/share/pear
ยังไม่สำเร็จครับ พอ แก้ php.ini แล้ว restart apache เวบเข้าไม่ได้เลยครับ
เพราะผมไม่รู้ว่า folder ไหน everyone can access it

WebHostDD · October 28, 2007, 7:53pm

[quote author=ICOM link=topic=8432.msg80792#msg80792 date=1193575771]
พยายามลองอยู่ครับ แต่ยังไม่รู้จะติดตั้งไปที่ไหน ลอง
/usr/bin/
/usr/share/pear
ยังไม่สำเร็จครับ พอ แก้ php.ini แล้ว restart apache เวบเข้าไม่ได้เลยครับ
เพราะผมไม่รู้ว่า folder ไหน everyone can access it[/quote]

ลองใส่ ใน /tmp หรือยังครับ

ถ้าเป็นอย่างนี้ ผม disable domain ทั้งหมดบน server แล้ว เมลน่าจะหยุดการทำงานไหมครับ

ไม่แน่นะครับ เพราะว่าอาจจะมี process เดิม ทำงานอยู่ก็เป็นได้ครับ

Jimmy · October 28, 2007, 8:02pm

ถ้ายังมีเมล์ส่งออกไม่หยุด และตรวจดูแล้วว่าไม่ใช่เมล์ที่ค้างอยู่ก่อนหน้านี้ เพื่อให้แน่ใจว่าเกิดจากเว็บหรือปล่าว อาจจะต้องลองไล่ตรวจสอบดู log file ของเว็บดูว่ามีหน้าไหน หรือ script ตัวไหนที่มีการเปิดใช้มากผิดปรกติหรือปล่าว

ICOM · October 28, 2007, 8:12pm

ใส่ใน /tmp ได้แล้วครับ ขอบคุณมากครับ
ทีนี้ก็รอดูผลการทำงาน

ถ้าดูจาก apache status

Server uptime: 2 minutes 36 seconds 
Total accesses: 489 - Total Traffic: 3.1 MB 
CPU Usage: u.46 s.17 cu0 cs0 - .404% CPU load 
3.13 requests/sec - 20.0 kB/second - 6.4 kB/request 
3 requests currently being processed, 7 idle workers

ถ้าดูจาก top

 1 user,

cake · October 28, 2007, 8:15pm

แนะนำให้ไปดาวน์โหลด qmHandle มาใช้ครับ เป็น tool ที่ดีมากๆเลยครับ สามารถดู รายละเอียดต่างๆ ทั้ง header รวมทั้งลบ email ตาม header ที่ต้องการได้ด้วยครับ

http://sourceforge.net/projects/qmhandle

อ้อ อย่างลืมแก้ไข path ของ qmail queue ใน file qmHandle ด้วยนะครับ เพราะ qmail ของ plesk อาจไม่อยู่ที่ /var/qmail ( อย่าง freebsd อยู่ที่ /usr/local/psa/qmail )

อืม อีกอย่างที่เคยเจอครับ โดนสุ่ม pass ของพวก user info@xxx.tld เพราะตั้ง ยass ง่าย อย่างเช่น 123456 แอบใช้ส่ง mail ก็มีนะครับ ลองตรวจ log ดูดีๆว่ามีการ login เข้ามาส่งจาก ip แปลกๆ บ้างไหม

:wavey:

WebHostDD · October 28, 2007, 8:16pm

เอ… ใน plesk