はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 質問掲示板

 uucp経由でメール不正送信がされている?
日時: 2006/07/20 20:23
名前: house

①不明点・障害内容:メールが不正に利用されている?
②ログの有無   :あり(下記参照)
  (有:その内容):
③Distribution  :fc5
      Version:

ログ
メールヘッダ)

Return-Path: <uucp@shiawase-home.com>
X-Original-To: uucp@shiawase-home.com
Delivered-To: info@shiawase-home.com
Received: from localhost (localhost.localdomain [127.0.0.1])
   by server.shiawase-home.com (Postfix) with ESMTP id EC1A51E28032
   for <uucp@shiawase-home.com>; Thu, 20 Jul 2006 14:44:10 +0900 (JST)
X-Virus-Scanned: amavisd-new at shiawase-home.com
X-Spam-Flag: YES
X-Spam-Score: 29.194
X-Spam-Level: *****************************
X-Spam-Status: Yes, score=29.194 tagged_above=2 required=6.31
   tests=[ALL_TRUSTED=-1.44, MISSING_SUBJECT=1.345, NOTINCONTENTTYPE=0.2,
   NO_REAL_NAME=0.55, RAZOR2_CF_RANGE_51_100=2.5,
   RAZOR2_CF_RANGE_E4_51_100=1.5, RAZOR2_CF_RANGE_E8_51_100=1.5,
   RAZOR2_CHECK=1, SURBL_DCN=5.5, URIBL_AB_SURBL=3.306, URIBL_JP_SURBL=1,
   URIBL_OB_SURBL=0.1, URIBL_SC_SURBL=3.6, URIBL_WS_SURBL=1.533,
   URLBL_RBLJP=1.5, URLRBLJP_DCN=5.5]
Received: from server.shiawase-home.com ([127.0.0.1])
   by localhost (server.shiawase-home.com [127.0.0.1]) (amavisd-new, port 10024)
   with ESMTP id kxcP6zxQxXpK for <uucp@shiawase-home.com>;
   Thu, 20 Jul 2006 14:44:06 +0900 (JST)
Received: from 68-114-82-17.dhcp.oxfr.ma.charter.com (68-114-82-17.dhcp.oxfr.ma.charter.com [68.114.82.17])
   by server.shiawase-home.com (Postfix) with SMTP id 1CBF51E2802A
   for <uucp@shiawase-home.com>; Thu, 20 Jul 2006 14:44:04 +0900 (JST)
To: uucp@shiawase-home.com
Message-Id: <20060720054405.1CBF51E2802A@server.shiawase-home.com>
Date: Thu, 20 Jul 2006 14:44:04 +0900 (JST)
From: uucp@shiawase-home.com

メール送信者等)
差出人:  uucp@shiawase-home.com 
日付:  2006年 7月 20日(木)2:44 pm 
宛先:  uucp@shiawase-home.com 
重要度:  中 

メール本文)
simple... 
email advertise like this to 8,000,000 people this week for free...

http://www.broadcastemailgroup.com/

the above non commercial offer is directed at non commercial 
charities only. push charity info on site for details. this offer is 
not a commercial service that is absolutely not at all available
for sale or lease or trade of any kind.

**************

現在のポート開閉状況

25,80,443、ハイポートで5つ

**************

皆さん、いつもコメント頂きまして、大変ありがとうございます。

ちょっと困ったことになっているかもしれないので、
できればコメント頂ければ幸いです。

上記のように、uucpから私のドメイン名にて
私宛にメールが届きました。

多分、不正アクセスされているのだと思います。

サーバーのメンテナンスを高めようと考え、
fc5をなるべく最小限(GUIは入れましたが)インストールし、
ルーターとiptablesにてブロックし、
運用再開後1日未満です。

サーバー再開後8時間という短い時間で
上記のようなメールが私宛に届きました。
(情けない)

セキュリティ向上の為に、
したことは、
各種監視ソフトの導入(見ているだけですが)
1.SSH不正アクセスの監視
2.SnortSnarf による監視
3.iptables logs による監視

具体的対策
4.ルーターにて必要なしポートの切断
5.iptablesの導入
6.SWATCH導入
(一定のPing of Death、SSHログインエラー、FTPログインエラー時のIPアドレス拒否)

7.chkrootkit
8.CLAMAV
9.Exec-Shield
10.メールの受信は内部クライアントからのみ
(SquirrelMailは導入している)
11.SSH(内部からのみアクセス)
12.ftp無し
13.通常のアクセスはpoderosa

セキュリティ上問題がありそうなところ
1.samba導入
2.webmin導入(最新版)
3.vnc導入
(ただし、vnc利用の際は、ターミナルでVNC起動後、利用し、
終了後、ターミナルでVNC切断)
4.webdav

と思いつくままですが、こんな感じです。
それなりにセキュリティに気をつけていたつもりだったので、
結構ショックです。

uucpはネットで調べるとメールの中継に関係しているようですが、
私の中ではどうやらこれが不正に経由されているような気がします。

どこかでルートのID/パスワードが漏れているということでしょうかもしれません。

ただ私の中では、TELNETもなければ、ターミナルも内部からのアクセスのみの設定なので、
どうしてこういうことになるのか分かりません。

どんなことでも良いので
何か対策等を教えていただければ幸いです。

だらだらと長文で失礼します。
メンテ

Page:  [1] [2] [3]

■ コンテンツ関連情報

 Re: uucp経由でメール不正送信がされている? ( No.1 )
日時: 2006/07/20 20:57
名前: 管理者

houseさん、こんにちは。

結構、深刻な状態となっていますね・・・。
まず原因を追究するよりも、対処の方が先と思われます。

ヘッダを見る限りではSMTP-Authを設定している様ですが、再度確認してみて下さい。
(http://kajuhome.com/postfix.shtml#n03 を確認してください)
それと、送受信の確認まで時間は掛かりますが、メール送受信を暗号化する事をお勧めします。
  参照:http://kajuhome.com/mail_ssl.shtml


メールログ「/var/log/maillog」より2006年 7月 20日(木)2:44 pmの当該部分を教えてください。
下記の実行結果もお願いします。
# service --status-all

出先の為、即答できませんがあらゆる限り解決へのお手伝いをさせて頂きます。
メンテ
 Re: uucp経由でメール不正送信がされている? ( No.2 )
日時: 2006/07/20 22:20
名前: house

ありがとうございます。

SSLも設定していたつもりだったのですが、
ヘッダではSSLを設定していない、と出ているのでしょうか?
見方がちょっと分からなかったのですが、
もしよければ教えてください。

*******

ログについては残っていました。
以下にアップします。

Jul 20 14:44:03 server postfix/smtpd[22545]: connect from 68-114-82-17.dhcp.oxfr.ma.charter.com[68.114.82.17]
Jul 20 14:44:05 server postfix/smtpd[22545]: 1CBF51E2802A: client=68-114-82-17.dhcp.oxfr.ma.charter.com[68.114.82.17]
Jul 20 14:44:06 server postfix/cleanup[22549]: 1CBF51E2802A: message-id=<20060720054405.1CBF51E2802A@server.shiawase-home.com>
Jul 20 14:44:06 server postfix/qmgr[1774]: 1CBF51E2802A: from=<uucp@shiawase-home.com>, size=792, nrcpt=1 (queue active)
Jul 20 14:44:06 server clamd[1703]: SelfCheck: Database status OK.
Jul 20 14:44:06 server postfix/smtpd[22545]: disconnect from 68-114-82-17.dhcp.oxfr.ma.charter.com[68.114.82.17]Jul 20 14:44:10 server postfix/smtpd[22554]: connect from localhost.localdomain[127.0.0.1]
Jul 20 14:44:10 server postfix/smtpd[22554]: EC1A51E28032: client=localhost.localdomain[127.0.0.1]
Jul 20 14:44:11 server postfix/cleanup[22549]: EC1A51E28032: message-id=<20060720054405.1CBF51E2802A@server.shiawase-home.com>
Jul 20 14:44:11 server postfix/qmgr[1774]: EC1A51E28032: from=<uucp@shiawase-home.com>, size=1784, nrcpt=1 (queue active)Jul 20 14:44:11 server amavis[1778]: (01778-05) Passed SPAM, [68.114.82.17] [68.114.82.17] <uucp@shiawase-home.com> -> <uucp@shiawase-home.com>, Message-ID: <20060720054405.1CBF51E2802A@server.shiawase-home.com>, mail_id: kxcP6zxQxXpK, Hits: 29.194, queued_as: EC1A51E28032, 4894 ms
Jul 20 14:44:11 server postfix/smtpd[22554]: disconnect from localhost.localdomain[127.0.0.1]Jul 20 14:44:11 server postfix/smtp[22551]: 1CBF51E2802A: to=<uucp@shiawase-home.com>, relay=127.0.0.1[127.0.0.1], delay=7, status=sent (250 2.6.0 Ok, id=01778-05, from MTA([127.0.0.1]:10025): 250 Ok: queued as EC1A51E28032)Jul 20 14:44:11 server postfix/qmgr[1774]: 1CBF51E2802A: removed
Jul 20 14:44:11 server postfix/local[22555]: EC1A51E28032: to=<info@shiawase-home.com>, orig_to=<uucp@shiawase-home.com>, relay=local, delay=1, status=sent (delivered to maildir)
Jul 20 14:44:11 server postfix/qmgr[1774]: EC1A51E28032: removedJul 20 14:47:26 server postfix/anvil[22547]: statistics: max connection rate 1/60s for (smtp:68.114.82.17) at Jul 20 14:44:03Jul 20 14:47:26 server postfix/anvil[22547]: statistics: max connection count 1 for (smtp:68.114.82.17) at Jul 20 14:44:03
Jul 20 14:47:26 server postfix/anvil[22547]: statistics: max cache size 1 at Jul 20 14:44:03

いつも無理をいっているにもかかわらず
本当に感謝します。
メンテ
 Re: uucp経由でメール不正送信がされている? ( No.3 )
日時: 2006/07/20 22:31
名前: 管理者

> SSLも設定していたつもりだったのですが、
> ヘッダではSSLを設定していない、と出ているのでしょうか?
> 見方がちょっと分からなかったのですが、
> もしよければ教えてください。

ヘッダから判断した訳ではありません。

>> **************
>> 
>> 現在のポート開閉状況
>> 
>> 25,80,443、ハイポートで5つ
>> 
>> **************


より、SSLポート(465・995)をオープンしていないと思ったので書かせて頂きました。

SMTP-Authを使用していれば登録していないアカウントでは送信できないはずだったと思います。
以下コマンドで「uucp」は出力されないですよね?(SMTP-Authを使用するメールアカウントしか出てこないですよね?)
# sasldblistusers2
メンテ
 Re: uucp経由でメール不正送信がされている? ( No.4 )
日時: 2006/07/20 22:33
名前: 武蔵

postfixは最新のバージョンになっていますか?
メンテ
 Re: uucp経由でメール不正送信がされている? ( No.5 )
日時: 2006/07/20 23:20
名前: house

本当にありがとうございます。

(ポートについて説明させて頂きます)

現在、
メールクライアント(ベッキー)と
ターミナル(poderosa)と
WINSCP
は、ローカルのPCからのみアクセスしています。
なので、SSLのポートを開放しないでも良いかと考えたのですが、
これはあっていますでしょうか?

(sasldblistusers2)

では登録しているユーザーのみが表示されます。
uucpは出てきません

(postfixのバージョン)

バージョンは
postfix-2.2.8-1.2でした。

最新は
2006.7.13 新しいPostfixのマイナーリリースバージョン、Postfix 2.3.0がリリースされました。 
なので、まだそれにはしていませんでした。

このあたりが関連しているのでしょうか?

どのみち新しくしようと思います。

ちなみに新しくしたら、設定ファイルをもう一度設定しなおす必要はありますか?
(馬鹿な質問ですいません。いつもはyumでがんがんアップデートしているので・・・)

***********

現在、とりあえず、SSLのキーを再度作り直しています。

本当に協力を感謝します。
メンテ

Page:  [1] [2] [3]

題名
名前  ("初心者"を含む名前は使用できません)
E-Mail
URL
パスワード 記事メンテ時に使用)
投稿キー (投稿時 投稿キー を入力してください)
コメント
画像添付 (対応画像:JPEG/GIF/PNG [Max 500KB])

   クッキー保存

■ その他


Copyright(©)2004-2018 First home server construction. All Right Reserved.