Загадочный SPAM.

12
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
1081

День добрый коллеги, столкнулся с интересной темой.... Спамеры шлют спам каким-то образом, с машины на которой зарезан 25й порт на уровне 2L свича в который она включена...

Есть не сложный сегмент сети,

L3 маршрутизатор, L2 коммутатор (C2950).

На L3 маршрутизаторе есть VLAN который доходит до конкретного порта в L2 свиче.

На L2 свиче вот такая штука:


interface FastEthernet0/9
switchport access vlan 51
switchport mode access
ip access-group smtpblock in
load-interval 30
no cdp enable
spanning-tree portfast
end

....

ip access-list extended smtpblock
deny tcp any any eq smtp
permit ip any any

Если зайти на сервер, и делать оттуда telnet <host> 25 куда либо , ничего не происходит, проверял внутри сети, на машинках слушал tcpdump-ом ничего не приходит.... т.е правило работает отлично как я понимаю.

Дальше, у клиента на сервере есть пачка адресов, которые выданы следующим образом:

Основная сеточка /30 висит на самом VLAN, т.е клиенту спускается 1 адрес.

Дополнительные адреса маршрутизируются на тот самый "основной" IP адрес.

т.е для примера, основная сеть 1.1.1.0/30 (на стороне клиента IP 1.1.1.2

Дополнительне адреса 2.2.2.0/24 -> 1.1.1.2

Все как бы с точки зрения маршрутизации работает нормально вопросов никаких нет за исключением того, что в подобной конфигурации на сеть 2.2.2.0/24 навалило тона спамкопов........

Изучая харрактерные особенности, было обращено внимание, что в один из периодов времени было несколько сайнапов однотипных, и все они теперь каким-то образом по чуток спамят , при этом у всех серверов закрыт 25й порт на выход на стороне L2 свича.....

У меня есть подозрение, что например в том же VLAN 51 есть еще один какой-то сервер (надо всех изучать, это не так просто), который возможно не имеет блокировки на порту, и на нем поднимают IP адреса с других серверов, однако в этом случае я не понимаю каким образом будет устанавливаться соединение если по машрутизации на моем маршрутизаторе.... обратный трафик придет таки к реальному серверу за которым закреплены IP адреса.....

Может вообще шлют не из нашей AS а например откуда-то где не сильно правильно настроен anti spoof к примеру, может где-то в хетзнере например поднимают наши адреса? А нам абузы возвращаются... Хотя в этом случае так же вопрос о соединении остается открытым.

В общем наталкивайте на мысли, буду рад услышать любую информацию которая сможет помочь разобраться..... Честно говоря немного озадачен. Каким бы образом отловить происходящее.

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
LF
На сайте с 13.08.2015
Offline
65
#1

Извините, если не понял сути (много написано), но почту можно отправлять не только через 25 порт.

Есть еще 587 порт SMTP+STARTTLS

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#2
lsw_fan:
Извините, если не понял сути (много написано), но почту можно отправлять не только через 25 порт.

Есть еще 587 порт SMTP+STARTTLS

Если я правильно понял вас, то отправлять то почту можно хоть с порта 22 если у вас есть рутовые полномочия на сервере, однако преимущественное большинство серверов принимают почту именно на порту 25 (по этому выглядит как-то так: ВашСервер.com:любой порт -> google.com:25), это предусмотрено разными стандартами и.т.п.... по этому исходящий порт роли не играет, а вот подключится куда бы то ни было на 25й порт... вроде бы как возможности быть не должно, стало быть отправить почту на нормальный почтовый сервер так же не должно быть возможности, но какой-то прикол таки поселился... вот гадаю сижу.

LF
На сайте с 13.08.2015
Offline
65
#3
Оптимизайка
На сайте с 11.03.2012
Offline
396
#4
Romka_Kharkov:
стало быть отправить почту на нормальный почтовый сервер так же не должно быть возможности

Вам все правильно сказали, отправлять почту можно в т.ч. через SSL, для этого стандартом предусмотрены порты 465 и 587.

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#5

Да, посыпаю голову пеплом, SMTPS возможен, но это не оно....

Вскрыл одну из машинок на которую залита некая backend часть...

.jar файлик и парочка архивов, запускается бекенд на java, который строит GRE тунели с использованием внутренних адресов типа 10./8 а внутрь заворачивает судя по всему выданные мною ИП,

Тунель строится на ИП 209.170.75.27..... (*Telia), судя по всему на той стороне нет антиспуф протекшона никакого и там можно хоть от имени google рассылать пакеты? Вопрос в том , куда они возвращаются.....

На стороне машины расположенной у меня, поднят только tun0 интерфейс, а так же "основной IP", дополнительне IP просто перечислены в одном из конфигов этого ПО.... я так понимаю происходит некое асинхронное хождение трафика что ли ? Какой-то чувак поворачивает мои ИП адреса в Telia, при этом откуда-то (может и не из Telia) шлет почту от моих адресов (спуф я так понимаю) а возврат может быть даже каким-то образом и обрабатывает в этом java backend....

---------- Добавлено 19.05.2016 в 03:15 ----------

Интересная штука, внутри тунеля GRE происходит общение.....

---------- Добавлено 19.05.2016 в 04:22 ----------

Судя по всему, все оказывается достаточно просто, люди стоят GRE тунель и на дальней стороне от меня поднимают мои ИП адреса, а оттуда шлют как бы спам как положено.... Тут даже spoof не нужен, так что ли получается?

Andreyka
На сайте с 19.02.2005
Offline
821
#6

Как не подменяй на дальней стороне IP, хост принимающий почту запишет в received реальный IP сервера, который ему передал почту.

Другое дело что есть глупые RBL, которые пихают все received, но тут уже такое дело...

Не стоит плодить сущности без необходимости
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#7
Andreyka:
Как не подменяй на дальней стороне IP, хост принимающий почту запишет в received реальный IP сервера, который ему передал почту.
Другое дело что есть глупые RBL, которые пихают все received, но тут уже такое дело...

SpamCop обычный....

Так если провайдер например разрешает любые IP на исход... ничего не мешает человеку поднять на интерфейсе по сути любой адрес и с него слать.... возврат будет в оригинальное место конечно....

Я таким образом тестировал как-то у себя, пингал от имени 8.8.8.8 себя :))) забавно :)

В общем пока понятно что есть GRE тунель и в нем происходит спам на второй стороне, подрезал GRE, жду реакции ;)

N
На сайте с 06.05.2007
Offline
419
#8

Какая-то нереально сложная схема ради простого спама, только чтобы обойти ваши ограничения на SMTP ? Может там ddos-или раньше еще и в этом их главная цель.

Romka_Kharkov:
В общем пока понятно что есть GRE тунель и в нем происходит спам на второй стороне, подрезал GRE, жду реакции

Так им не все ли равно каким способом туннель поднять ? Поднимут openvpn значит, снова будет спам .

Тут ARIN надо закрывать. В Прогрессивной Европе ( в юрисдикции RIPE) все зарегулировано и магистральные провайдеры действительно серьезнее подходят к трафику. А про ARIN периодически всплывают всякие такие заметки.

Может, как-то договориться с сетевиками по этой конкретной проблеме ?

Кнопка вызова админа ()
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#9
netwind:
Какая-то нереально сложная схема ради простого спама, только чтобы обойти ваши ограничения на SMTP ? Может там ddos-или раньше еще и в этом их главная цель.

В том то и дело, что кроме спама пока ничего.

netwind:

Так им не все ли равно каким способом туннель поднять ? Поднимут openvpn значит, снова будет спам .

В принципе да конечно, но тогда будет Cancel ;)

netwind:

Тут ARIN надо закрывать. В Прогрессивной Европе ( в юрисдикции RIPE) все зарегулировано и магистральные провайдеры действительно серьезнее подходят к трафику. А про ARIN периодически всплывают всякие такие заметки.

Не совсем понял при чем тут ARIN...

netwind:

Может, как-то договориться с сетевиками по этой конкретной проблеме ?

С какими сетевиками?

N
На сайте с 06.05.2007
Offline
419
#10
Romka_Kharkov:
С какими сетевиками?

С каким-нибудь. Такой трафик не должен проходить. У каждого ошибочного пакета есть поля Имя Отчество и Фамилия.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий