US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

Рассылка спама - что делать?

Рассылка спама — что делать?

Май 19, 2015DmitryНовости

Каждый день инженеры службы технической поддержки помогают нашим пользователям в самых различных ситуациях. Часто речь идет о несанкционированной рассылке почтовых спам-сообщений — причем, пострадавшими бывают владельцы и хостинговых аккаунтов, и виртуальных или выделенных серверов.

Как понять, имеет ли место рассылка несанкционированной рекламы (UCE)? Основные инструменты для этого — проверка почтовой очереди (команда mailq), просмотр журнального файла почтовой системы (/var/log/maillog, /var/log/exim/mainlog) и анализ трафика. Если в почтовой очереди находятся тысячи сообщений, в журнальных файлах — множество записей об успешной и неуспешной доставке писем различным адресатам, а tcpdump или другой инструмент показывает множество TCP-сессий в сторону различных IP-адресов — нужно срочно принимать меры.

Наиболее часто встречается банальная причина UCE-рассылки — уязвимость в программном обеспечении, которое используется на сервере. В подавляющем большинстве случаев причиной является устаревшая CMS (система управления сайтом) и сопутствующие модули. Заметим, что редко злоумышленники целенаправлено «взламывают» операционную систему. Все гораздо прозаичней и без всякой романтики — специальные «роботы» сканируют целые сетевые диапазоны, проводят тесты на предмет наличия устаревшего программного обеспечения или типичных ошибок в настройке правил безопасности. Затем, на основании собранной информации, злоумышленники начинают использовать найденные «дыры».

В случае успешного поиска уязвимой ОС или приложений злодей может пойти одним или несколькими путями:

  1. Использовать простой механизм для рассылки спама напрямую из CMS
  2. Загрузить «руткит» — набор приложений, который маскируются под системные процессы и позволяют выполнять различные действия по команде злоумышленника
  3. Удалить данные, заблокировать доступ владельцу сервера и т.п.

Вариант с уязвимой CMS и рассылкой с помощью PHP — наиболее простой и наименее деструктивный. Определить его использование можно по следующим признакам:

  1. В почтовой очереди множество сообщений, где адрес отправителя часто похож на [email protected]ваш-домен или на адрес администратора web-сайта
  2. В access.log сайта существует множество записей о POST-запросах, которые массированно производятся с нескольких IP

Лечение простое — блокируем любым способом запросы с подозрительных IP, запрещаем POST-запросы на найденные в логе вэбсервера URL, обновляем CMS и плагины. Также необходимо очистить почтовую очередь от сообщений, чтобы снизить вероятность блокировки IP со стороны различных служб и почтовых сервисов. Временной мерой также может быть запрет с помощью файрвола исходящих smtp-соединений, но нужно действовать аккуратно — без устранения причины рассылки в очереди будут накапливаться миллионы файлов с неотосланным спамом.

Остановка почтовой системы не решает проблему! Даже если выключить, остановить sendmail, postfix или exim, спам будет приниматься в очередь.

В случае, если загружен руткит или злоумышленник получил полный доступ к ОС, нужно быть осмотрительнее. В этом случае почтовая очередь может быть пустой, а активность будет заметна только по анализу TCP-трафика. Например, могут быть запущен скрытый proxy-сервер, с помощью которого злодей будет делать рассылку, сканирование и взлом других узлов — отправляя трафик с адреса взломанного сервера.

Например, один из недавних примеров — вредоносный скрипт на perl, который мимикрирует под системную утилиту:

1
2
3
user11 53224 76.3  0.1 15056  5160  ??  R     3:40AM 877:16.68 /usr/sbin/acpid (perl5.8.9)
user11 98626 61.9  0.1 15056  5160  ??  R     3:02PM 149:57.77 /usr/sbin/acpid (perl5.8.9)
user11 33622  0.0  0.1 15476  4508  ??  I     2:15PM   0:00.02 /usr/bin/perl ./sss.pl 0.0.0.0 12345 (perl5.8.9)

Хакером через уязвимость в Joomla был загружен модуль, который принимал команды на порту 12345, далее был запущен дополнительный код, который использовался в атаке на другой узел.

К счастью, такой вариант развития событий встречается реже, но и устранение последствий является более трудоемкой задачей. Как правило, необходим поиск подозрительных процессов и файлов, анализ загрузочных скриптов и множество других исследований. Незаменимые инструменты — lsof, tcpdump, top и множество других. Обязательно перед использованием этих инструментов следует убедиться, что системные утилиты не подменены на «фальшивые» аналоги, а после поиска и устранения угрозы нужно принять меры для защиты системы в дальнейшем.

Не оставляете «на потом» обновление своих операционных систем и приложений, как на рабочих компьютерах, так и на серверах. Всегда делайте резервные копии. Используйте сложные пароли.

В том случае, если есть минимальные подозрения на рассылку спама, взлом или другую аномальную активность, незамедлительно обратитесь в нашу службу поддержки. Если же поступило сообщение от наших инженеров, что с помощью той или иной услуги идет рассылка спама, сканирование других узлов и подобная аномальная активность — срочно принимайте меры. Это в наших общих интересах.

Tags: security
Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

  • Критическое обновление Vesta и новые уязвимости

  • Новая уязвимость в Vesta?

← Уязвимость CVE-2015-3456 (VENOM) — требуется обновление KVM/QEMU
Бесплатная панель CentOS Web Panel для хостеров и не только →

Recent Posts

  • ITLDC News — December 2022
    ITLDC News — December 2022

    We did not publish updates for November...

  • Let’s start our biggest SALE!
    Let’s start our biggest SALE!

    We will not complicate and publish some...

  • ITLDC News — October 2022
    ITLDC News — October 2022

    It's time to make a brief report on what...

  • Price adjustments for selected services
    Price adjustments for selected services

    Since the autumn of last year, the price...

  • Support for our friends and colleagues in Ukraine
    Support for our friends and colleagues in Ukraine

    Dear friends and colleagues from Ukraine...

  • Новый датацентр — UA2.IEV: Kyiv, Ukraine!
    Новый датацентр — UA2.IEV: Kyiv, Ukraine!

    Мы продолжаем увеличивать количество наш...

  • CyberMonday — продолжаем марафон скидок!
    CyberMonday — продолжаем марафон скидок!

    Черная Пятница прошла, но не будем остан...

  • Black Friday 2021 — скидки до 50% на все SSD VDS!
    Black Friday 2021 — скидки до 50% на все SSD VDS!

    Черная Пятница официально началась! На п...

EU Support

ITLDC EU Team

PO Box #201
Burgas
Burgas reg. 8000
Bulgaria

+1 561 2500001

[email protected]

US/APAC Support

ITLDC NOAM Team

PO Box 800054
Aventura
FL, 33280
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.