はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/01/16
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

 uucp経由でメール不正送信がされている?
日時: 2006/07/20 20:23
名前: house

?不明点・障害内容:メールが不正に利用されている?
?ログの有無   :あり(下記参照)
  (有:その内容):
?Distribution  :fc5
      Version:

ログ
メールヘッダ)

Return-Path: <uucp@shiawase-home.com>
X-Original-To: uucp@shiawase-home.com
Delivered-To: info@shiawase-home.com
Received: from localhost (localhost.localdomain [127.0.0.1])
   by server.shiawase-home.com (Postfix) with ESMTP id EC1A51E28032
   for <uucp@shiawase-home.com>; Thu, 20 Jul 2006 14:44:10 +0900 (JST)
X-Virus-Scanned: amavisd-new at shiawase-home.com
X-Spam-Flag: YES
X-Spam-Score: 29.194
X-Spam-Level: *****************************
X-Spam-Status: Yes, score=29.194 tagged_above=2 required=6.31
   tests=[ALL_TRUSTED=-1.44, MISSING_SUBJECT=1.345, NOTINCONTENTTYPE=0.2,
   NO_REAL_NAME=0.55, RAZOR2_CF_RANGE_51_100=2.5,
   RAZOR2_CF_RANGE_E4_51_100=1.5, RAZOR2_CF_RANGE_E8_51_100=1.5,
   RAZOR2_CHECK=1, SURBL_DCN=5.5, URIBL_AB_SURBL=3.306, URIBL_JP_SURBL=1,
   URIBL_OB_SURBL=0.1, URIBL_SC_SURBL=3.6, URIBL_WS_SURBL=1.533,
   URLBL_RBLJP=1.5, URLRBLJP_DCN=5.5]
Received: from server.shiawase-home.com ([127.0.0.1])
   by localhost (server.shiawase-home.com [127.0.0.1]) (amavisd-new, port 10024)
   with ESMTP id kxcP6zxQxXpK for <uucp@shiawase-home.com>;
   Thu, 20 Jul 2006 14:44:06 +0900 (JST)
Received: from 68-114-82-17.dhcp.oxfr.ma.charter.com (68-114-82-17.dhcp.oxfr.ma.charter.com [68.114.82.17])
   by server.shiawase-home.com (Postfix) with SMTP id 1CBF51E2802A
   for <uucp@shiawase-home.com>; Thu, 20 Jul 2006 14:44:04 +0900 (JST)
To: uucp@shiawase-home.com
Message-Id: <20060720054405.1CBF51E2802A@server.shiawase-home.com>
Date: Thu, 20 Jul 2006 14:44:04 +0900 (JST)
From: uucp@shiawase-home.com

メール送信者等)
差出人:  uucp@shiawase-home.com
日付:  2006年 7月 20日(木)2:44 pm
宛先:  uucp@shiawase-home.com
重要度:  中

メール本文)
simple...
email advertise like this to 8,000,000 people this week for free...

http://www.broadcastemailgroup.com/

the above non commercial offer is directed at non commercial
charities only. push charity info on site for details. this offer is
not a commercial service that is absolutely not at all available
for sale or lease or trade of any kind.

**************

現在のポート開閉状況

25,80,443、ハイポートで5つ

**************

皆さん、いつもコメント頂きまして、大変ありがとうございます。

ちょっと困ったことになっているかもしれないので、
できればコメント頂ければ幸いです。

上記のように、uucpから私のドメイン名にて
私宛にメールが届きました。

多分、不正アクセスされているのだと思います。

サーバーのメンテナンスを高めようと考え、
fc5をなるべく最小限(GUIは入れましたが)インストールし、
ルーターとiptablesにてブロックし、
運用再開後1日未満です。

サーバー再開後8時間という短い時間で
上記のようなメールが私宛に届きました。
(情けない)

セキュリティ向上の為に、
したことは、
各種監視ソフトの導入(見ているだけですが)
1.SSH不正アクセスの監視
2.SnortSnarf による監視
3.iptables logs による監視

具体的対策
4.ルーターにて必要なしポートの切断
5.iptablesの導入
6.SWATCH導入
(一定のPing of Death、SSHログインエラー、FTPログインエラー時のIPアドレス拒否)

7.chkrootkit
8.CLAMAV
9.Exec-Shield
10.メールの受信は内部クライアントからのみ
(SquirrelMailは導入している)
11.SSH(内部からのみアクセス)
12.ftp無し
13.通常のアクセスはpoderosa

セキュリティ上問題がありそうなところ
1.samba導入
2.webmin導入(最新版)
3.vnc導入
(ただし、vnc利用の際は、ターミナルでVNC起動後、利用し、
終了後、ターミナルでVNC切断)
4.webdav

と思いつくままですが、こんな感じです。
それなりにセキュリティに気をつけていたつもりだったので、
結構ショックです。

uucpはネットで調べるとメールの中継に関係しているようですが、
私の中ではどうやらこれが不正に経由されているような気がします。

どこかでルートのID/パスワードが漏れているということでしょうかもしれません。

ただ私の中では、TELNETもなければ、ターミナルも内部からのアクセスのみの設定なので、
どうしてこういうことになるのか分かりません。

どんなことでも良いので
何か対策等を教えていただければ幸いです。

だらだらと長文で失礼します。

■ コンテンツ関連情報

 Re: uucp経由でメール不正送信がされている? ( No.1 )
日時: 2006/07/20 20:57
名前: 管理者

houseさん、こんにちは。

結構、深刻な状態となっていますね・・・。
まず原因を追究するよりも、対処の方が先と思われます。

ヘッダを見る限りではSMTP-Authを設定している様ですが、再度確認してみて下さい。
(http://kajuhome.com/postfix.shtml#n03 を確認してください)
それと、送受信の確認まで時間は掛かりますが、メール送受信を暗号化する事をお勧めします。
  参照:http://kajuhome.com/mail_ssl.shtml


メールログ「/var/log/maillog」より2006年 7月 20日(木)2:44 pmの当該部分を教えてください。
下記の実行結果もお願いします。
# service --status-all

出先の為、即答できませんがあらゆる限り解決へのお手伝いをさせて頂きます。
 Re: uucp経由でメール不正送信がされている? ( No.2 )
日時: 2006/07/20 22:20
名前: house

ありがとうございます。

SSLも設定していたつもりだったのですが、
ヘッダではSSLを設定していない、と出ているのでしょうか?
見方がちょっと分からなかったのですが、
もしよければ教えてください。

*******

ログについては残っていました。
以下にアップします。

Jul 20 14:44:03 server postfix/smtpd[22545]: connect from 68-114-82-17.dhcp.oxfr.ma.charter.com[68.114.82.17]
Jul 20 14:44:05 server postfix/smtpd[22545]: 1CBF51E2802A: client=68-114-82-17.dhcp.oxfr.ma.charter.com[68.114.82.17]
Jul 20 14:44:06 server postfix/cleanup[22549]: 1CBF51E2802A: message-id=<20060720054405.1CBF51E2802A@server.shiawase-home.com>
Jul 20 14:44:06 server postfix/qmgr[1774]: 1CBF51E2802A: from=<uucp@shiawase-home.com>, size=792, nrcpt=1 (queue active)
Jul 20 14:44:06 server clamd[1703]: SelfCheck: Database status OK.
Jul 20 14:44:06 server postfix/smtpd[22545]: disconnect from 68-114-82-17.dhcp.oxfr.ma.charter.com[68.114.82.17]Jul 20 14:44:10 server postfix/smtpd[22554]: connect from localhost.localdomain[127.0.0.1]
Jul 20 14:44:10 server postfix/smtpd[22554]: EC1A51E28032: client=localhost.localdomain[127.0.0.1]
Jul 20 14:44:11 server postfix/cleanup[22549]: EC1A51E28032: message-id=<20060720054405.1CBF51E2802A@server.shiawase-home.com>
Jul 20 14:44:11 server postfix/qmgr[1774]: EC1A51E28032: from=<uucp@shiawase-home.com>, size=1784, nrcpt=1 (queue active)Jul 20 14:44:11 server amavis[1778]: (01778-05) Passed SPAM, [68.114.82.17] [68.114.82.17] <uucp@shiawase-home.com> -> <uucp@shiawase-home.com>, Message-ID: <20060720054405.1CBF51E2802A@server.shiawase-home.com>, mail_id: kxcP6zxQxXpK, Hits: 29.194, queued_as: EC1A51E28032, 4894 ms
Jul 20 14:44:11 server postfix/smtpd[22554]: disconnect from localhost.localdomain[127.0.0.1]Jul 20 14:44:11 server postfix/smtp[22551]: 1CBF51E2802A: to=<uucp@shiawase-home.com>, relay=127.0.0.1[127.0.0.1], delay=7, status=sent (250 2.6.0 Ok, id=01778-05, from MTA([127.0.0.1]:10025): 250 Ok: queued as EC1A51E28032)Jul 20 14:44:11 server postfix/qmgr[1774]: 1CBF51E2802A: removed
Jul 20 14:44:11 server postfix/local[22555]: EC1A51E28032: to=<info@shiawase-home.com>, orig_to=<uucp@shiawase-home.com>, relay=local, delay=1, status=sent (delivered to maildir)
Jul 20 14:44:11 server postfix/qmgr[1774]: EC1A51E28032: removedJul 20 14:47:26 server postfix/anvil[22547]: statistics: max connection rate 1/60s for (smtp:68.114.82.17) at Jul 20 14:44:03Jul 20 14:47:26 server postfix/anvil[22547]: statistics: max connection count 1 for (smtp:68.114.82.17) at Jul 20 14:44:03
Jul 20 14:47:26 server postfix/anvil[22547]: statistics: max cache size 1 at Jul 20 14:44:03

いつも無理をいっているにもかかわらず
本当に感謝します。
 Re: uucp経由でメール不正送信がされている? ( No.3 )
日時: 2006/07/20 22:31
名前: 管理者

> SSLも設定していたつもりだったのですが、
> ヘッダではSSLを設定していない、と出ているのでしょうか?
> 見方がちょっと分からなかったのですが、
> もしよければ教えてください。

ヘッダから判断した訳ではありません。

>> **************
>>
>> 現在のポート開閉状況
>>
>> 25,80,443、ハイポートで5つ
>>
>> **************


より、SSLポート(465・995)をオープンしていないと思ったので書かせて頂きました。

SMTP-Authを使用していれば登録していないアカウントでは送信できないはずだったと思います。
以下コマンドで「uucp」は出力されないですよね?(SMTP-Authを使用するメールアカウントしか出てこないですよね?)
# sasldblistusers2
 Re: uucp経由でメール不正送信がされている? ( No.4 )
日時: 2006/07/20 22:33
名前: 武蔵

postfixは最新のバージョンになっていますか?
 Re: uucp経由でメール不正送信がされている? ( No.5 )
日時: 2006/07/20 23:20
名前: house

本当にありがとうございます。

(ポートについて説明させて頂きます)

現在、
メールクライアント(ベッキー)と
ターミナル(poderosa)と
WINSCP
は、ローカルのPCからのみアクセスしています。
なので、SSLのポートを開放しないでも良いかと考えたのですが、
これはあっていますでしょうか?

(sasldblistusers2)

では登録しているユーザーのみが表示されます。
uucpは出てきません

(postfixのバージョン)

バージョンは
postfix-2.2.8-1.2でした。

最新は
2006.7.13 新しいPostfixのマイナーリリースバージョン、Postfix 2.3.0がリリースされました。
なので、まだそれにはしていませんでした。

このあたりが関連しているのでしょうか?

どのみち新しくしようと思います。

ちなみに新しくしたら、設定ファイルをもう一度設定しなおす必要はありますか?
(馬鹿な質問ですいません。いつもはyumでがんがんアップデートしているので・・・)

***********

現在、とりあえず、SSLのキーを再度作り直しています。

本当に協力を感謝します。
 Re: uucp経由でメール不正送信がされている? ( No.6 )
日時: 2006/07/20 23:39
名前: 管理者

了解しました。
ローカルからのアクセスであれば、ポートを開ける必要はありません。

確か110番も必要なかったと思います。
(25番だけで良いはずです)

引き続き、調べてみますね。
 Re: uucp経由でメール不正送信がされている? ( No.7 )
日時: 2006/07/20 23:43
名前: Johann
参照: http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

勘違いだったらすみませんが、uucp@shiawase-home.comというメールアドレス宛てに
スパマーがスパムを送ってきただけってことはありませんか?
 Re: uucp経由でメール不正送信がされている? ( No.8 )
日時: 2006/07/21 00:09
名前: house

Johann さんもありがとう・・・(涙)
そういうことなんでしょうかね?

From: uucp@shiawase-home.com
っていうのが気になっています。

ちなみに、最近、
「追跡!ネットワーク セキュリティ24時」っていう本を読んだばかりで
セキュリティに気を付けよう・・・
と思っていたところだったので
ショックが倍です。
 Re: uucp経由でメール不正送信がされている? ( No.9 )
日時: 2006/07/21 07:32
名前: 管理者

>> Johannさん
確かにその様に見えますね。
> server amavis[1778]: (01778-05) Passed SPAM, [68.114.82.17] [68.114.82.17] <uucp@shiawase-home.com> -> <uucp@shiawase-home.com>, Message-ID: <20060720054405.1CBF51E2802A@server.shiawase-home.com>, mail_id: kxcP6zxQxXpK, Hits: 29.194, queued_as: EC1A51E28032, 4894 ms
ただ、気になっているのが上記のログ部分で、SPAMメールが外部ネットワーク(68.114.82.17)を何故リレーを許してしまったのかが不思議です。
Fromがhouseさんのドメインで且つ、IPが自ネットワーク外なのでリレーされないと思ったのですが・・・

P.S.
 先日の悪質スレッドにて削除推進のコメントをありがとう御座いました。
 お礼を言う場がなかったので、この場をお借りしてお礼申し上げます。

>> houseさん
差し支えなければ、以下の実行結果を教えてください。

# grep mynetworks /etc/postfix/main.cf
 Re: uucp経由でメール不正送信がされている? ( No.10 )
日時: 2006/07/21 11:21
名前: Johann
参照: http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

管理者さん、houseさん

houseさんのamavisでスパム処理をどうやってるのかちょっと分からないので
何とも言えない部分はありますが、外から来たuucp宛てのスパムをamavisが処理
した後にpostfixに返して、postfixがinfo宛てに送っているように見えます。
infoがuucpのエイリアスになっている可能性が高そうですね。

>お礼を言う場がなかったので、この場をお借りしてお礼申し上げます。

とんでもございません。。わけわかんないスレッドは消してしまって問題ないかと。
 Re: uucp経由でメール不正送信がされている? ( No.11 )
日時: 2006/07/21 21:38
名前: house

>管理人さん

上記の結果が以下になります。

[root@server ~]# grep mynetworks /etc/postfix/main.cf
# The mynetworks parameter specifies the list of "trusted" SMTP
# By default (mynetworks_style = subnet), Postfix "trusts" SMTP
# Specify "mynetworks_style = class" when Postfix should "trust" SMTP
# mynetworks list by hand, as described below.
# Specify "mynetworks_style = host" when Postfix should "trust"
#mynetworks_style = class
#mynetworks_style = subnet
#mynetworks_style = host
# Alternatively, you can specify the mynetworks list by hand, in
# which case Postfix ignores the mynetworks_style setting.
mynetworks = 192.168.0.0/24, 127.0.0.0/8
#mynetworks = 168.100.189.0/28, 127.0.0.0/8
#mynetworks = $config_directory/mynetworks
#mynetworks = hash:/etc/postfix/network_table
# - from "trusted" clients (IP address matches $mynetworks) to any destination,
smtpd_client_restrictions = permit_mynetworks,
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

>Johannさん

Johannさんが以前にコメントされていた
(他サイトですが)
postfixでamavisのチェックを行うように設定しています。
(コメントでは大容量のzipが消去される・・・とかなっていたコメントを見ました)

もしかすると、言われるように
amavisチェックが影響しているんでしょうか?

ヘッダ情報をもう少し勉強しようと思いますが、
まだちょっと力不足のようです。

**************

とりあえず現状、セキュリティ対策したことは

1.ssh秘密鍵等を再度つくり直した。
2.念のためca.der等も作り直した
3.rootパスワードの変更(恐ろしく長いパスワード)
4.一般ユーザのパスワード変更
(今までは全てのユーザパスワードが同じだったので、
全てのユーザオリジナルのパスワードにしました。
恐ろしく長いパスワード)
5.mysql root パスワード変更(恐ろしく長いパスワード)
6.mysql database ごとに 専用のユーザーをつくり、
それぞれ異なるパスワードに変更
(今までは一つの一般ユーザのみで全てを管理していました)

今後の予定

1.使用しているcgiのパーミッションを
順に下げてゆき、一番低い数値での運用
(これが簡単に分かる方法があると良いのですが・・・)
2.SELINUXの導入
(本を注文しましたが、実運用はずっと先と思います)

と、とりあえず以上が現状の報告です。
 Re: uucp経由でメール不正送信がされている? ( No.12 )
日時: 2006/07/21 21:39
名前: house

みなさん、いつも有り難うございます。

っていうお礼が抜けていました。
ごめんなさい。

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.