Рассылка спама — что делать?
Каждый день инженеры службы технической поддержки помогают нашим пользователям в самых различных ситуациях. Часто речь идет о несанкционированной рассылке почтовых спам-сообщений — причем, пострадавшими бывают владельцы и хостинговых аккаунтов, и виртуальных или выделенных серверов.
Как понять, имеет ли место рассылка несанкционированной рекламы (UCE)? Основные инструменты для этого — проверка почтовой очереди (команда mailq), просмотр журнального файла почтовой системы (/var/log/maillog, /var/log/exim/mainlog) и анализ трафика. Если в почтовой очереди находятся тысячи сообщений, в журнальных файлах — множество записей об успешной и неуспешной доставке писем различным адресатам, а tcpdump или другой инструмент показывает множество TCP-сессий в сторону различных IP-адресов — нужно срочно принимать меры.
Наиболее часто встречается банальная причина UCE-рассылки — уязвимость в программном обеспечении, которое используется на сервере. В подавляющем большинстве случаев причиной является устаревшая CMS (система управления сайтом) и сопутствующие модули. Заметим, что редко злоумышленники целенаправлено «взламывают» операционную систему. Все гораздо прозаичней и без всякой романтики — специальные «роботы» сканируют целые сетевые диапазоны, проводят тесты на предмет наличия устаревшего программного обеспечения или типичных ошибок в настройке правил безопасности. Затем, на основании собранной информации, злоумышленники начинают использовать найденные «дыры».
В случае успешного поиска уязвимой ОС или приложений злодей может пойти одним или несколькими путями:
- Использовать простой механизм для рассылки спама напрямую из CMS
- Загрузить «руткит» — набор приложений, который маскируются под системные процессы и позволяют выполнять различные действия по команде злоумышленника
- Удалить данные, заблокировать доступ владельцу сервера и т.п.
Вариант с уязвимой CMS и рассылкой с помощью PHP — наиболее простой и наименее деструктивный. Определить его использование можно по следующим признакам:
- В почтовой очереди множество сообщений, где адрес отправителя часто похож на [email protected]ваш-домен или на адрес администратора web-сайта
- В access.log сайта существует множество записей о POST-запросах, которые массированно производятся с нескольких IP
Лечение простое — блокируем любым способом запросы с подозрительных IP, запрещаем POST-запросы на найденные в логе вэбсервера URL, обновляем CMS и плагины. Также необходимо очистить почтовую очередь от сообщений, чтобы снизить вероятность блокировки IP со стороны различных служб и почтовых сервисов. Временной мерой также может быть запрет с помощью файрвола исходящих smtp-соединений, но нужно действовать аккуратно — без устранения причины рассылки в очереди будут накапливаться миллионы файлов с неотосланным спамом.
Остановка почтовой системы не решает проблему! Даже если выключить, остановить sendmail, postfix или exim, спам будет приниматься в очередь.
В случае, если загружен руткит или злоумышленник получил полный доступ к ОС, нужно быть осмотрительнее. В этом случае почтовая очередь может быть пустой, а активность будет заметна только по анализу TCP-трафика. Например, могут быть запущен скрытый proxy-сервер, с помощью которого злодей будет делать рассылку, сканирование и взлом других узлов — отправляя трафик с адреса взломанного сервера.
Например, один из недавних примеров — вредоносный скрипт на perl, который мимикрирует под системную утилиту:
1 2 3 | user11 53224 76.3 0.1 15056 5160 ?? R 3:40AM 877:16.68 /usr/sbin/acpid (perl5.8.9) user11 98626 61.9 0.1 15056 5160 ?? R 3:02PM 149:57.77 /usr/sbin/acpid (perl5.8.9) user11 33622 0.0 0.1 15476 4508 ?? I 2:15PM 0:00.02 /usr/bin/perl ./sss.pl 0.0.0.0 12345 (perl5.8.9) |
Хакером через уязвимость в Joomla был загружен модуль, который принимал команды на порту 12345, далее был запущен дополнительный код, который использовался в атаке на другой узел.
К счастью, такой вариант развития событий встречается реже, но и устранение последствий является более трудоемкой задачей. Как правило, необходим поиск подозрительных процессов и файлов, анализ загрузочных скриптов и множество других исследований. Незаменимые инструменты — lsof, tcpdump, top и множество других. Обязательно перед использованием этих инструментов следует убедиться, что системные утилиты не подменены на «фальшивые» аналоги, а после поиска и устранения угрозы нужно принять меры для защиты системы в дальнейшем.
В том случае, если есть минимальные подозрения на рассылку спама, взлом или другую аномальную активность, незамедлительно обратитесь в нашу службу поддержки. Если же поступило сообщение от наших инженеров, что с помощью той или иной услуги идет рассылка спама, сканирование других узлов и подобная аномальная активность — срочно принимайте меры. Это в наших общих интересах.