Il server sta inviando spam

-1

Ho stabilito che il mio server è compromesso perché invia spam (da uno dei miei indirizzi legittimi).

  • Come posso determinare cosa è compromesso? L'attaccante conosce il mio Password SSH? Mail password? Dovrei semplicemente supporre che tutto sia compromesso?
  • È possibile che la posta possa essere inviata dal mio indirizzo (ad esempio, [email protected]) senza che l'autore dell'attacco conosca la mia password di posta?
posta Peter 29.09.2015 - 16:35
fonte

1 risposta

2

Hai detto "Ho determinato che il mio server è stato compromesso". Come hai fatto questa determinazione? Hai trovato voci nei tuoi registri? Hai visto accessi attivi? Ecc.

O stai supponendo che il tuo server sia stato compromesso perché ricevi email di rimbalzo che non hai inviato, o forse ricevi una lista nera come spammer, ecc.?

Sono necessari più dettagli su ciò che hai trovato (fatti non asserzioni senza dettagli) per essere in grado di determinare se sei stato compromesso e di avere almeno un'ipotesi a livello di compromesso.

Come accennato da altri, le intestazioni delle e-mail sono fondamentali per capire cosa sta succedendo con le e-mail ricevute / inviate in modo che possano essere molto utili se si stanno monitorando le e-mail. Per quanto riguarda la tua domanda, è banale falsificare gli indirizzi di invio e non richiede che il tuo sistema sia compromesso (nel qual caso le intestazioni mostrerebbero i sistemi effettivi attraverso i quali l'email è passata e non il tuo sistema).

Per quanto riguarda la diagnosi di ciò che potrebbe accadere al tuo sistema, inizia con i file di registro. Controlla gli accessi per vedere chi ha effettuato l'accesso al tuo sistema. Controlla le connessioni attive per monitorare se qualcuno potrebbe entrare di nascosto. Controlla il tuo log della posta per vedere se le email provengono dal tuo sistema - e per questo, devi vedere se sei usato come un relay aperto o come un relay di ritorno (qualcuno ti manda come mittente falso a un invalid destinatario, il tuo sistema lo rimbalza, il che significa che ora stai inviando spam a tutti questi falsi mittenti e il tuo IP è visto come il mittente dell'e-mail).

Spero che questo aiuti all'inizio. Aggiungi ulteriori dettagli e potremmo essere in grado di fornire ulteriori suggerimenti.

    
risposta data 29.09.2015 - 22:31
fonte

Leggi altre domande sui tag