Рассылка спама - что делать?

Каждый день инженеры службы технической поддержки помогают нашим пользователям в самых различных ситуациях. Часто речь идет о несанкционированной рассылке почтовых спам-сообщений — причем, пострадавшими бывают владельцы и хостинговых аккаунтов, и виртуальных или выделенных серверов.

Как понять, имеет ли место рассылка несанкционированной рекламы (UCE)? Основные инструменты для этого — проверка почтовой очереди (команда mailq), просмотр журнального файла почтовой системы (/var/log/maillog, /var/log/exim/mainlog) и анализ трафика. Если в почтовой очереди находятся тысячи сообщений, в журнальных файлах — множество записей об успешной и неуспешной доставке писем различным адресатам, а tcpdump или другой инструмент показывает множество TCP-сессий в сторону различных IP-адресов — нужно срочно принимать меры.

Наиболее часто встречается банальная причина UCE-рассылки — уязвимость в программном обеспечении, которое используется на сервере. В подавляющем большинстве случаев причиной является устаревшая CMS (система управления сайтом) и сопутствующие модули. Заметим, что редко злоумышленники целенаправлено «взламывают» операционную систему. Все гораздо прозаичней и без всякой романтики — специальные «роботы» сканируют целые сетевые диапазоны, проводят тесты на предмет наличия устаревшего программного обеспечения или типичных ошибок в настройке правил безопасности. Затем, на основании собранной информации, злоумышленники начинают использовать найденные «дыры».

В случае успешного поиска уязвимой ОС или приложений злодей может пойти одним или несколькими путями:

1. Использовать простой механизм для рассылки спама напрямую из CMS
2. Загрузить «руткит» — набор приложений, который маскируются под системные процессы и позволяют выполнять различные действия по команде злоумышленника
3. Удалить данные, заблокировать доступ владельцу сервера и т.п.

Вариант с уязвимой CMS и рассылкой с помощью PHP — наиболее простой и наименее деструктивный. Определить его использование можно по следующим признакам:

1. В почтовой очереди множество сообщений, где адрес отправителя часто похож на webmaster@ваш-домен или на адрес администратора web-сайта
2. В access.log сайта существует множество записей о POST-запросах, которые массированно производятся с нескольких IP

Лечение простое — блокируем любым способом запросы с подозрительных IP, запрещаем POST-запросы на найденные в логе вэбсервера URL, обновляем CMS и плагины. Также необходимо очистить почтовую очередь от сообщений, чтобы снизить вероятность блокировки IP со стороны различных служб и почтовых сервисов. Временной мерой также может быть запрет с помощью файрвола исходящих smtp-соединений, но нужно действовать аккуратно — без устранения причины рассылки в очереди будут накапливаться миллионы файлов с неотосланным спамом.

Остановка почтовой системы не решает проблему! Даже если выключить, остановить sendmail, postfix или exim, спам будет приниматься в очередь.

В случае, если загружен руткит или злоумышленник получил полный доступ к ОС, нужно быть осмотрительнее. В этом случае почтовая очередь может быть пустой, а активность будет заметна только по анализу TCP-трафика. Например, могут быть запущен скрытый proxy-сервер, с помощью которого злодей будет делать рассылку, сканирование и взлом других узлов — отправляя трафик с адреса взломанного сервера.

Например, один из недавних примеров — вредоносный скрипт на perl, который мимикрирует под системную утилиту:

Хакером через уязвимость в Joomla был загружен модуль, который принимал команды на порту 12345, далее был запущен дополнительный код, который использовался в атаке на другой узел.

К счастью, такой вариант развития событий встречается реже, но и устранение последствий является более трудоемкой задачей. Как правило, необходим поиск подозрительных процессов и файлов, анализ загрузочных скриптов и множество других исследований. Незаменимые инструменты — lsof, tcpdump, top и множество других. Обязательно перед использованием этих инструментов следует убедиться, что системные утилиты не подменены на «фальшивые» аналоги, а после поиска и устранения угрозы нужно принять меры для защиты системы в дальнейшем.

В том случае, если есть минимальные подозрения на рассылку спама, взлом или другую аномальную активность, незамедлительно обратитесь в нашу службу поддержки. Если же поступило сообщение от наших инженеров, что с помощью той или иной услуги идет рассылка спама, сканирование других узлов и подобная аномальная активность — срочно принимайте меры. Это в наших общих интересах.