はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 質問掲示板

 uucp経由でメール不正送信がされている?
日時: 2006/07/20 20:23
名前: house

①不明点・障害内容:メールが不正に利用されている?
②ログの有無   :あり(下記参照)
  (有:その内容):
③Distribution  :fc5
      Version:

ログ
メールヘッダ)

Return-Path: <uucp@shiawase-home.com>
X-Original-To: uucp@shiawase-home.com
Delivered-To: info@shiawase-home.com
Received: from localhost (localhost.localdomain [127.0.0.1])
   by server.shiawase-home.com (Postfix) with ESMTP id EC1A51E28032
   for <uucp@shiawase-home.com>; Thu, 20 Jul 2006 14:44:10 +0900 (JST)
X-Virus-Scanned: amavisd-new at shiawase-home.com
X-Spam-Flag: YES
X-Spam-Score: 29.194
X-Spam-Level: *****************************
X-Spam-Status: Yes, score=29.194 tagged_above=2 required=6.31
   tests=[ALL_TRUSTED=-1.44, MISSING_SUBJECT=1.345, NOTINCONTENTTYPE=0.2,
   NO_REAL_NAME=0.55, RAZOR2_CF_RANGE_51_100=2.5,
   RAZOR2_CF_RANGE_E4_51_100=1.5, RAZOR2_CF_RANGE_E8_51_100=1.5,
   RAZOR2_CHECK=1, SURBL_DCN=5.5, URIBL_AB_SURBL=3.306, URIBL_JP_SURBL=1,
   URIBL_OB_SURBL=0.1, URIBL_SC_SURBL=3.6, URIBL_WS_SURBL=1.533,
   URLBL_RBLJP=1.5, URLRBLJP_DCN=5.5]
Received: from server.shiawase-home.com ([127.0.0.1])
   by localhost (server.shiawase-home.com [127.0.0.1]) (amavisd-new, port 10024)
   with ESMTP id kxcP6zxQxXpK for <uucp@shiawase-home.com>;
   Thu, 20 Jul 2006 14:44:06 +0900 (JST)
Received: from 68-114-82-17.dhcp.oxfr.ma.charter.com (68-114-82-17.dhcp.oxfr.ma.charter.com [68.114.82.17])
   by server.shiawase-home.com (Postfix) with SMTP id 1CBF51E2802A
   for <uucp@shiawase-home.com>; Thu, 20 Jul 2006 14:44:04 +0900 (JST)
To: uucp@shiawase-home.com
Message-Id: <20060720054405.1CBF51E2802A@server.shiawase-home.com>
Date: Thu, 20 Jul 2006 14:44:04 +0900 (JST)
From: uucp@shiawase-home.com

メール送信者等)
差出人:  uucp@shiawase-home.com 
日付:  2006年 7月 20日(木)2:44 pm 
宛先:  uucp@shiawase-home.com 
重要度:  中 

メール本文)
simple... 
email advertise like this to 8,000,000 people this week for free...

http://www.broadcastemailgroup.com/

the above non commercial offer is directed at non commercial 
charities only. push charity info on site for details. this offer is 
not a commercial service that is absolutely not at all available
for sale or lease or trade of any kind.

**************

現在のポート開閉状況

25,80,443、ハイポートで5つ

**************

皆さん、いつもコメント頂きまして、大変ありがとうございます。

ちょっと困ったことになっているかもしれないので、
できればコメント頂ければ幸いです。

上記のように、uucpから私のドメイン名にて
私宛にメールが届きました。

多分、不正アクセスされているのだと思います。

サーバーのメンテナンスを高めようと考え、
fc5をなるべく最小限(GUIは入れましたが)インストールし、
ルーターとiptablesにてブロックし、
運用再開後1日未満です。

サーバー再開後8時間という短い時間で
上記のようなメールが私宛に届きました。
(情けない)

セキュリティ向上の為に、
したことは、
各種監視ソフトの導入(見ているだけですが)
1.SSH不正アクセスの監視
2.SnortSnarf による監視
3.iptables logs による監視

具体的対策
4.ルーターにて必要なしポートの切断
5.iptablesの導入
6.SWATCH導入
(一定のPing of Death、SSHログインエラー、FTPログインエラー時のIPアドレス拒否)

7.chkrootkit
8.CLAMAV
9.Exec-Shield
10.メールの受信は内部クライアントからのみ
(SquirrelMailは導入している)
11.SSH(内部からのみアクセス)
12.ftp無し
13.通常のアクセスはpoderosa

セキュリティ上問題がありそうなところ
1.samba導入
2.webmin導入(最新版)
3.vnc導入
(ただし、vnc利用の際は、ターミナルでVNC起動後、利用し、
終了後、ターミナルでVNC切断)
4.webdav

と思いつくままですが、こんな感じです。
それなりにセキュリティに気をつけていたつもりだったので、
結構ショックです。

uucpはネットで調べるとメールの中継に関係しているようですが、
私の中ではどうやらこれが不正に経由されているような気がします。

どこかでルートのID/パスワードが漏れているということでしょうかもしれません。

ただ私の中では、TELNETもなければ、ターミナルも内部からのアクセスのみの設定なので、
どうしてこういうことになるのか分かりません。

どんなことでも良いので
何か対策等を教えていただければ幸いです。

だらだらと長文で失礼します。
メンテ

Page:  [1] [2] [3]

■ コンテンツ関連情報

 Re: uucp経由でメール不正送信がされている? ( No.11 )
日時: 2006/07/21 21:38
名前: house

>管理人さん

上記の結果が以下になります。

[root@server ~]# grep mynetworks /etc/postfix/main.cf
# The mynetworks parameter specifies the list of "trusted" SMTP
# By default (mynetworks_style = subnet), Postfix "trusts" SMTP
# Specify "mynetworks_style = class" when Postfix should "trust" SMTP
# mynetworks list by hand, as described below.
# Specify "mynetworks_style = host" when Postfix should "trust"
#mynetworks_style = class
#mynetworks_style = subnet
#mynetworks_style = host
# Alternatively, you can specify the mynetworks list by hand, in
# which case Postfix ignores the mynetworks_style setting.
mynetworks = 192.168.0.0/24, 127.0.0.0/8
#mynetworks = 168.100.189.0/28, 127.0.0.0/8
#mynetworks = $config_directory/mynetworks
#mynetworks = hash:/etc/postfix/network_table
# - from "trusted" clients (IP address matches $mynetworks) to any destination,
smtpd_client_restrictions = permit_mynetworks,
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

>Johannさん

Johannさんが以前にコメントされていた
(他サイトですが)
postfixでamavisのチェックを行うように設定しています。
(コメントでは大容量のzipが消去される・・・とかなっていたコメントを見ました)

もしかすると、言われるように
amavisチェックが影響しているんでしょうか?

ヘッダ情報をもう少し勉強しようと思いますが、
まだちょっと力不足のようです。

**************

とりあえず現状、セキュリティ対策したことは

1.ssh秘密鍵等を再度つくり直した。
2.念のためca.der等も作り直した
3.rootパスワードの変更(恐ろしく長いパスワード)
4.一般ユーザのパスワード変更
(今までは全てのユーザパスワードが同じだったので、
全てのユーザオリジナルのパスワードにしました。
恐ろしく長いパスワード)
5.mysql root パスワード変更(恐ろしく長いパスワード)
6.mysql database ごとに 専用のユーザーをつくり、
それぞれ異なるパスワードに変更
(今までは一つの一般ユーザのみで全てを管理していました)

今後の予定

1.使用しているcgiのパーミッションを
順に下げてゆき、一番低い数値での運用
(これが簡単に分かる方法があると良いのですが・・・)
2.SELINUXの導入
(本を注文しましたが、実運用はずっと先と思います)

と、とりあえず以上が現状の報告です。
メンテ
 Re: uucp経由でメール不正送信がされている? ( No.12 )
日時: 2006/07/21 21:39
名前: house

みなさん、いつも有り難うございます。

っていうお礼が抜けていました。
ごめんなさい。
メンテ

Page:  [1] [2] [3]

題名
名前  ("初心者"を含む名前は使用できません)
E-Mail
URL
パスワード 記事メンテ時に使用)
投稿キー (投稿時 投稿キー を入力してください)
コメント
画像添付 (対応画像:JPEG/GIF/PNG [Max 500KB])

   クッキー保存

■ その他


Copyright(©)2004-2018 First home server construction. All Right Reserved.