Это значит, что взломали?

[gomer777]

Добрый день!

Нездоровый симптом: вчера получил на свою почту администратора магазина спам со своего же магазина (того же адреса). Предчувствие нехорошее.  Ваш вердикт, и куда кидаться. Сам пока слабовато разбираюсь. 

Спасибо.

[snastik]

Вряд ли взломали - похоже на вас просто напал спам бот

[gomer777]

Гранд мерси!

[trialon77]

Похожая ситуация. На магазинную почту приходит спам от этой же почты. Я сперва думал, что там просто в поле  отправитель подставляется почта, но потом решил посмотреть логи почты. 

Само письмо:

Цитата

Return-path:  <[email protected]>
Envelope-to: <[email protected]>
Delivery-date: Fri, 26 May 2017 06:43:23 +0300
Received: from [47.91.140.237] (helo=115.159.155.24)
     by 5lb.ua with esmtps (TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256)
     (Exim 4.84_2)
     (envelope-from <[email protected]>)
     id 1dE69q-0005yo-8Z
     for <[email protected]>; Fri, 26 May 2017 06:43:23 +0300
Message-ID: <[email protected]>
Reply-To: "<[email protected]>" <[email protected]>
From: "<[email protected]>" <[email protected]>
To: <[email protected]>
Subject: =?utf-8?B?0JrQu9C40LXQvdGC0YHQutC40LUg0LHQsNC30YshINCj?=
     =?utf-8?B?0LfQvdCw0LnRgtC1INC/0L7QtNGA0L7QsdC90LXQtTog?=
     =?utf-8?B?c2t5cGU6IHByb2Rhd2V6MzkwIEVtYWlsOiBwcm9kYXdl?=
     =?utf-8?B?ejM5M0BnbWFpbC5jb20gU2t5cGU6IHByb2Rhd2V6Mzkw?=
     =?utf-8?B?INCi0LXQuzogKzc5MTM5MjMwMzMwIFdoYXRzYXBwOiAr?=
     =?utf-8?B?NzkxMzkyMzAzMzAgVmliZXI6ICArNzkxMzkyMzAzMzAg?=
     =?utf-8?B?VGVsZWdyYW06ICArNzkxMzkyMzAzMzA=?=
Date: Fri, 26 May 2017 10:42:41 +0700
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8";
Content-Transfer-Encoding: base64
X-Confirm-Reading-To: [email protected]
Confirm-Reading-To: [email protected]
Disposition-Notification-To: [email protected]

 

В логах exim такая запись:

Цитата

2017-05-26 06:43:12 no host name found for IP address 47.91.140.237
2017-05-26 06:43:23 1dE69q-0005yo-8Z <= [email protected] H=(115.159.155.24) [47.91.140.237] P=esmtps X=TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256 S=1729 [email protected] from <[email protected]> for [email protected]
2017-05-26 06:43:23 1dE69q-0005yo-8Z => shop ([email protected]) <[email protected]> R=procmail T=procmail_pipe
2017-05-26 06:43:23 1dE69q-0005yo-8Z gmail-smtp-in.l.google.com [2a00:1450:4010:c03::1a] Network is unreachable
2017-05-26 06:43:24 1dE69q-0005yo-8Z => [email protected] <[email protected]> R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [64.233.163.27] X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 DN="C=US,ST=California,L=Mountain View,O=Google Inc,CN=mx.google.com" C="250 2.0.0 OK 1495770204 r10si5899589ljd.156 - gsmtp"
2017-05-26 06:43:24 1dE69q-0005yo-8Z Completed

 

Судя по логам - письмо отправлено через smtp? Я верно понимаю?

И как они могли подобрать пароль к почтовику, там набор буквенно-символьный в 10шт. 

[MrDio]

Господа, мне тоже такие письма приходят на магазинную почту. Только ИМХО это просто через форму контактов вас так спамят.

У меня все руки не дойдут капчу на это форму зацепить :-))

[trialon77]

2 часа назад, MrDio сказал:

Господа, мне тоже такие письма приходят на магазинную почту. Только ИМХО это просто через форму контактов вас так спамят.

У меня все руки не дойдут капчу на это форму зацепить :-))

Ну у меня вряд ли так. Так как отправка почты в магазине настроена через Sendmail, и соответственно из контактов она также отправлялись бы. По своим логам я вижу, что именно это письмо отправлено через smtp, тогда как в логах Sendmail в это в время записей нет. 

Так и есть, проверил, письмо из контактов отправляется через sendmail.

Змінено 26 травня 2017 користувачем trialon77

[trialon77]

Настроил fail2ban на vps - прикололся сколько нечисти лезет с подбором пароля и логина. В основном к ssh и exim.

[kril]

Ну, это спам. Вылезли в поиске, стали ходить спам-роботы и самбитить форму. Можно поставить капчу (например от гугла - http://www.google.com/recaptcha/intro/), а можно настроить фильтрацию в почте. 

[trialon77]

По моей ситуации - точно не через контактную форму, так как там стоит каптча, даже если бы через нее - то в логах exim было бы указано, что отправка через sendmail, но там как раз указано, что отправка через смтп. 

Думал может сервак взломали, но как они узнали пароль от смтп? Ведь он в явном виде не указывается нигде.

 

Остается только подбор, но как подобрали 10ти значный пароль вида: fg7njeRj8g - тоже не пойму. 

Поставил на vps fail2ban - после этого таких писем не было.

[indigo0707]

У меня весь ящик подобным спамом забит. Это норма, пускай и неприятно. 

[trialon77]

Понял причину проблемы. Гугл рулит. 

Оказывается, при дефолтной настройке exim можно подключится к серверу через телнет и отправить письмо без аутинтификации самому себе, то есть с адреса [email protected] на [email protected]. 

Кто разбирается в конфигах ексима, можно ли как то запретить отрпавку на локальные адреса без аутинтификации? 

Конфиг ексима во вложении.

exim4.conf.template