Flood prin port 25 - shared hosting

Salutare tuturor,

Avem un server de shared hosting pe Apache/Cpanel si folosim firewall-ul de la ConfigServer.

Recent, ne lovim de o problema pe care nu reusim sa o blocam.

Se face spam prin portul nostru 25 (SMTP) de pe IP-uri din China, Japonia, etc etc.

Oricate setari de securitate facem si oricat de drastic setam firewallul de la ConfigServer, reusim doar blocam temporar problema, dupa care apar alte IP-uri care fac spam prin portul nostru 25.

Problema este ca normal ar trebui sa se faca autentificare pentru orice user care trimite mailuri prin portul 25, dar se pare ca nu se face sau cumva reusesc sa faca bruteforce.
Am putea sa blocam portul si sa ne fortam clientii sa foloseasca altul, dar ar fi o problema cu cei care au scripturi care sa faca mailing/confirmation prin 25. Nu putem sa le taiem din senin accesul.

Ce ar fi de facut ? Cum ati proceda in acest caz ?

Multumesc in avans pentru orice informatie.

O zi faina!

schimbati portul

Poti interzice accesul ip-urilor de genul carora iti spameaza aplicatia, prin htaccess.

Bucifon, on 09 septembrie 2013 - 16:59, said:

Dupa cum ziceam, deranjam cei cativa clienti pe care ii avem, din cauza ca multi au configurate confirmari pe mail la comenzi prin acest port.
Si nu e chiar asa de usor de schimbat un port din senin, pe un server in productie.

Andrey77, on 09 septembrie 2013 - 17:01, said:

Am incercat asta, dar apar alte zeci de IP-uri. Vorbim aici de milioane de IP-uri care spameaza, ciclic.

In ce sens te spameaza? Se logheaza pe serverul tau si trimit mesaje in numele tau catre tine? Sau aproximativ pe acolo?

Gaseste pattern-ul pentru tara respectiva (China, Japonia...) si blocheaza toate ip-urile de genul. Sunt o gramada de posibilitati.

Fa-ti o baza de date/tabel special pentru asta si de fiecare data cand un ip face un request la pagina ta, pe server-side introdu ip-ul ca entry in tabel, odata cu timpul petrecut pe pagina. Dar inainte sa il introduci, verifica tabelul. Daca sunt cel putin 10 accesari cu un timp de navigare mai scurt de doua/trei secunde pe acest ip, adauga-l la ip-uri banned in fisierul .htaccess. Si uite asa ai si niste statistici pentru vizite

Daca nu intelegi, intreaba-l pe developer-ul care ti-a dezvoltat aplicatia.

Edited by Andrey77, 09 September 2013 - 17:17.

dexterash, on 09 septembrie 2013 - 17:13, said:

Fac spam prin SMTP-ul serverului, reusind cumva sa se autentifice prin portul 25. Trimit reclame tipice (Viagra, Loterie, etc etc)

Andrey77, on 09 septembrie 2013 - 17:15, said:

Nu am o aplicatie. Am un server pe care gazduiesc cateva magazine online si alte siteuri.
Am 337 de IP-uri/clase banate. Mereu apar altele.

Vorbim aici de milioane de IP-uri.

Mersi de sugestii. Eu totusi cred ca ar trebui sa schimb portul 25 in altul. Dar nu stiu ce sa fac cu clientii mei cu formulare de comanda/contact "scrise" sa trimita notificari prin mail prin portul 25.

ar fi o tehnica de validare a adreselor de email, Callback verification

doar cele verificate se pot authentifica

http://en.wikipedia....ck_verification

Edited by Bucifon, 09 September 2013 - 17:37.

http://mxtoolbox.com/diagnostic.aspx

Fa un test si posteaza rezultatul.

Imi reformulez intrebarea: mailurile iti vin tie si celor care au conturi pe acest server sau/si la alte adrese, care nu au legatura cu serverul?

xxsfantu, on 09 septembrie 2013 - 17:32, said:

E temporara treaba... serverul tau va fi rescanat si cum orice port/serviciu are o amprenta, botii vor folosi noul port.

adica pe romaneste ai open relay la smtp. Imi place cand toti habarnistii ofera gazduire clientilor dar nu sunt in stare sa isi protejeze serverul. bravo baieti, la mai mare!!!

dexterash, on 09 septembrie 2013 - 17:44, said:

Ce zice mai sus este probabil problema...testeaza pentru open relay.

Bucifon, on 09 septembrie 2013 - 17:36, said:

E enabled in WHM/cPanel. De aceea ma mir ca ma pot sniffui. Dar fiind cel mai uzitat port, suspectez o vulnerabilitate in cPanel/WHM.

dexterash, on 09 septembrie 2013 - 17:44, said:

Am inteles. Atunci toate porturile sunt vulnerabile ? Mailurile vin pe server si sunt trimise catre adrese random *@yahoo.com, *@gmail.com, etc.

DarkAngelBv, on 09 septembrie 2013 - 18:06, said:

SMTP Open Relay  OK - Not an open relay. - de pe mxtoolbox.com

A fost printre primele chestii pe care le-am verificat. Nu e vorba de habarnism, calmeaza-te. Stim ce facem, dar situatia asta e chiar ciudata....

Deschide un ticket direct la cPanel .

Ma duc baietii de la cPanel cu zaharelul.

Spun ca e in afara ariei lor de expertiza...

Tu doar ti-ai instalat CPanel pe server. Ce treaba au ei ca nu stii tu sa iti securizezi serverul?

xxsfantu, on 09 septembrie 2013 - 19:20, said:

O mica doza de habar-nu-stiu este, altfel nu intrebai aici. Nu prea are voie un hoster sa nu stie ce se intampla. Dar sa presupunem ca un admin bun costa mai mult decat incasarile facute cu hostingul de acolo.

SMTP Direct delivery spoof... banuiala mea.

dexterash, on 09 septembrie 2013 - 23:35, said:

Sa presupunem ca nu are niciun rost sa arunci cu rosii stricate in mine si sa ai o atitudine de . Daca nu ai ceva constructiv de zis, dupa ce mai postezi ?

M-am documentat si ma documentez incontinuu incercand sa gasesc metode mai bune sa imi securizez serverul. Am aplicat o gramada de tutoriale de hardening pe server/cPanel.
Acum am dat de o problema la care nu ii gasesc rezolvare.

Scuza-ma ca am incercat sa adun informatii din toate sursele posibile, inclusiv softpedia si ca ti-am deranjat existenta.

Daca mai are cineva vreo propunere, sugestie sau idee, va multumesc in avans pentru ajutor.  Restul sunt povesti rautacioase

xxsfantu, on 10 septembrie 2013 - 08:32, said:

Ataseaza un authlog si exim_mainlog sa vedem daca gasim cum trimit mailuri de la tine de pe server..

De obicei cauza problemei este:
1. Un hack la un script
2. Parole slabe la conturi.
3. Hack direct pe server
4. Open relay