ISP Blocked port 25 debido a spamming

20

Pregunta principal:

¿Es posible infectarse con un software bot / spam en Ubuntu (o cualquier otra distribución)?

Detalles:

Mi ISP bloqueó mi puerto 25 (y 465) para las conexiones salientes (conexiones salientes, desde el hogar al servidor remoto) a SMTP, por lo que no puedo usar mis correos electrónicos comerciales desde mi hogar en este momento. Su razonamiento para bloquearme es: "debido a que envían correo no deseado", que no soy y me dijeron que si no estoy enviando, mi sistema operativo probablemente esté infectado ...

Podría usar una lista completa de herramientas y guías para verificar el sistema ( Ubuntu 13.10 14.04 64bit ) para cualquier infiltrado / malware / rootkits.

P.S.

  • También tengo instalado Windows 8.1 (64 bits) solo porque también me gusta juego en la computadora de mi casa ... pero eso es lo que hago solo en Windows ... cuando tengo tiempo ...

  • La conexión inalámbrica está apagada e incluso si está protegida por contraseña.

  • El escaneo de ventanas no reveló nada ni debería haberlo visto desde entonces
    hay ventanas y juegos instalados allí.

  • Puedo conectarme a otros puertos para SMTP pero nuestro servidor usa 25 y eso no puede cambiar

  • También probé conectando al puerto 25 desde windoze (usando thunderbird)

  • Utilizo thunderbird para el cliente de correo electrónico en ubuntu y probé algunos otros solo para verificar que no fue un error de Thunderbird.

  • Telneting también genera tiempo de espera de conexión ...

EDITAR: Mi ISP todavía se niega a desbloquearme ... Tal vez tendré que abrir 587 en el servidor, ya que no está bloqueado en este momento (aún puedo usar Gmail)

EDIT 2:

Creo que hoy estuve conectado con otra tecnología del soporte de mi ISP y me dijeron que no hay un bloque de ellos ... ¡Estaba furioso! No sé qué hacía la tecnología anterior ... tal vez es nuevo y estaba leyendo un guión ...

Así que probé otro ISP mediante tethering desde mi teléfono y logré enviar correos electrónicos a través del puerto 25. Esencialmente no cambié nada, solo el ISP. ¿Están bromeando? Tal vez el soporte técnico no sabe cómo interpretar lo que buscan en sus pantallas para mi cuenta o podría ser algo más?

Otro paso que tomé fue restablecer por completo mi enrutador a su configuración predeterminada y obtener otra IP dinámica. Todavía no hay conexión con el puerto 25.

Estoy planeando obtener un enrutador usado de algún amigo o algo para probarlo con otro enrutador solo para asegurarme de que el problema recaiga en mi ISP.

EDIT 3: Ha pasado un tiempo desde mi última actualización a esta pregunta. Volví a mi antigua casa (que está en una parte diferente del país) donde tengo el mismo proveedor de internet. ¡¡La misma compañía !! Mi configuración solo funciona como se esperaba. Puedo enviar mensajes de correo electrónico muy bien utilizando el puerto 25. Apuesto a que el problema fue con ese desagradable enrutador ZTE que el ISP entrega a nuevos clientes.

    
pregunta Petsoukos 25.03.2014 - 16:01

6 respuestas

32

¿Es posible?

¿Por qué no sería ? Ubuntu es un sistema realmente flexible que comparte muchos problemas con la mayoría de los demás sistemas operativos:

  • El software en Ubuntu puede ser explotado
  • No necesita root para ejecutar un daemon de spam.
  • Las personas pueden descifrar la autenticación débil
  • Los usuarios de Ubuntu pueden convencerse de instalar / ejecutar casi cualquier cosa
  • Una vez dentro, los hackers pueden cargar / descargar más programas remotos para enviar spam

Seamos realistas sobre la seguridad aquí. Un exploit Flash multiplataforma podría traducirse fácilmente en una carga del dropper e instalar un daemon spam que se ejecuta al iniciar sesión. No necesita root.

Verifique nuevamente la historia del ISP

"¡Pero mi ISP no me mentía!" dijo nunca alguna vez . Muchos ISP domésticos suelen bloquear el puerto 25 y otros te obligan a usar sus servidores SMTP (esa es la única conexión p25 saliente que permitirán).

Ser moderador me permite ver su IP y he revisado su ISP de origen. Si googleas su nombre y "puerto 25" o "smtp", verás muchas otras personas en situaciones similares. Y tienen un servidor SMTP central.

Sé que dijiste que este es un problema nuevo, pero solo asegúrate de que no sea tu ISP (o necesites las configuraciones correctas mientras estés en tu ISP). La solución al final todavía debería funcionar para usted.

Encontrar el problema

Aunque es posible, todavía no estoy seguro de que sea el objetivo más probable. Si eres como yo, estás rodeado de dispositivos con conexión a Internet y necesitas mirarlos a todos.

Empezaría por pedirle al ISP alguna evidencia. Indique las marcas de tiempo en el mínimo indispensable, pero sería genial ver qué están usando para asegurarse de que no sea un auto-indicador que salió mal.

  • Podría ser que alguien haya marcado un correo electrónico de trabajo con el departamento de abuso del ISP.
  • Necesita saber qué sistema operativo estaba usando en ese momento. Tanto Ubuntu como Windows mantienen registros de autenticación, así que compáralos con cualquier evidencia que puedan enviarte.
  • Registra la actividad del puerto de salida 25 con algo como:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    Honestamente, no estoy seguro si eso funcionará si ya estás bloqueado, pero vale la pena intentarlo. Varios firewalls de Windows le ofrecerán diversas alternativas de registro.

  • Tenga en cuenta que cualquier dispositivo en su conexión podría estar enviando correos electrónicos, no solo su computadora. Teléfonos, tostadoras habilitadas para wifi, vecinos traviesos, etc. Encontrar lo que se está enviando a este correo podría requerir una intercepción y registro de paquetes a nivel de red. Todo esto es posible, pero es un dolor en la retaguardia.

  • Una vez que haya agotado todos los caminos posibles, seleccione software antivirus Linux . . Personalmente, no puedo hablar en nombre de ninguno de ellos o de sus tasas de detección.

Trabajando alrededor de un bloque de inmediato

Si necesita continuar, la forma más fácil de continuar enviando correos electrónicos es a través de algún tipo de conexión ofuscada o encriptada. Si tiene acceso a un servidor SSH (por ejemplo, en el trabajo) que a menudo puede ser el mejor método.

ssh -D9100 user@host

Luego solo modifique su cliente de correo electrónico para usar una dirección proxy SOCKS localhost , puerto 9100 . Su ISP no podrá interferir con esto y me sorprendería mucho que cualquier cosa que envíe el correo no deseado pueda adivinar la configuración de SOCKS.

¿Qué es más probable en este caso ...?

Verifique si puede enviar correos electrónicos a través del servidor SMTP de su ISP. Lo he comprobado, el tuyo tiene uno. Pueden estar forzando a todos sus usuarios a usarlo ya que eso es muy común. La persona de soporte técnico podría estar confundida.

Pregunte a otro usuario (con otra cuenta, en otra línea telefónica) para intentar conectarse al SMTP de su empresa. Esto se puede hacer rápidamente con telnet example.com 25 .

  • Si no se pueden conectar, asuma que se trata de un ISP, no solo de su cuenta, por lo que probablemente no sea un problema de seguridad ... Es algo con lo que tendrá que trabajar o trabajar.

  • Si pueden conectarse, vuelves al punto de partida. Ha habido algo que envía un correo electrónico desde su red que ha provocado que su ISP lo bloquee. Barridos de virus, monitoreo de tráfico y paranoia son tus mejores amigos aquí.

respondido por el Oli 25.03.2014 - 16:54
8

Sin duda es posible estar infectado y ser parte de una botnet en Ubuntu. Pero también es muy poco probable.

Debería poder solicitarle a su ISP sus registros. Ellos te ayudarán a encontrar el problema. Es difícil diagnosticarlo desde aquí, pero tu conexión inalámbrica tiene buenas posibilidades de ser la culpable. Verifique que esté utilizando WPA2 para seguridad y que WPS esté desactivado.

Después de resolver el problema y dejar de enviar correo no deseado durante un tiempo, probablemente pueda hablar con su ISP para desbloquear sus puertos.

    
respondido por el Javier Rivera 25.03.2014 - 16:57
5

Es una práctica común bloquear el puerto de salida 25, ya que debido a las preocupaciones de correo no deseado se desanimó por el envío original de correo electrónico. Todavía se usa entre servidores de correo.

El puerto correcto (y normalmente no bloqueado) para enviar (original) es el Puerto 587, el llamado puerto de envío. Los proveedores de correo generalmente lo soportan, los operadores del sistema generalmente no lo bloquean.

    
respondido por el fstd 26.03.2014 - 14:58
4

Muchos ISP bloquean los puertos 25 y 80 para todas sus cuentas de consumidor. Uso un servicio de alojamiento web que incluye un servicio de correo electrónico. me proporcionan un servidor smtp en un puerto no estándar para el correo electrónico saliente. Funciona en cualquier lugar. Es muy posible que tengas acceso a algo similar. Piense en los servicios que ya tiene e investíguelos.

    
respondido por el Marc 25.03.2014 - 16:51
2

Muchas de las otras respuestas se centran en alguien que usa su wifi o infecta sus máquinas. Estos son posibles pero pasan por alto la explicación más simple (la navaja de Occam ...).

Lo más probable es que actúe como un relevo abierto, lo que significa que cualquier persona en el mundo puede conectarse a su máquina y simplemente pedirle amablemente que envíe el correo a algún lugar, y lo hará, sin hacer preguntas. Esto es frecuentemente por lo que los ISP lo bloquearán porque es una prueba simple para ellos. Escanearán el bloque de IP de su cliente y le pedirán a cualquier cosa en el puerto 25 que retransmita un mensaje de prueba y, si lo hace, usted es un spammer. Puede ser que nadie esté usando su relé, pero su mera existencia es suficiente para ser bloqueado.

Para probar si usted es un retransmisor abierto, haga una telnet a su servidor de correo y hable con él. Las líneas en negrita son las que escribes.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

Las líneas que escriba son las líneas helo , mail from: y rcpt to: . Asegúrese de utilizar direcciones que no sean locales para usted, ambas necesitan ser hosts remotos. Si no obtiene el error 554 relay denied , entonces es una puerta de enlace de spam mal configurada y correctamente bloqueada.

La forma más sencilla de solucionar esto es exigir autenticación para enviar correo a través de su MTA. Los detalles para configurar esto depende del MTA que está ejecutando, un detalle que no está presente en su pregunta.

    
respondido por el casey 26.03.2014 - 20:46
0

Solo para asegurarse de que no tenga algo malo ejecutándose en su red o caja Linux.

Verifique su red usted mismo

Comience por ejecutar esto en su máquina Linux en casa:

netstat -ta

Esto mostrará una lista de todas las conexiones tcp que están establecidas o escuchando (con servidores detrás de ellas). Si hay algo que no espera, debe investigar más a fondo.

Otro comando muy útil que enumeraría todos los procesos con conexiones de Internet que mantuvieron abiertas es:

sudo lsof -i

(necesitarás tener instalado el paquete lsof ).

Tenga en cuenta que las pruebas anteriores not no cubrirán otros dispositivos que comparten su conexión a Internet: teléfono, tabletas, gadgets habilitados para Internet, vecinos haciendo piggybacking en su conexión, etc., como mencionó Oli. Si tiene una lista de sus direcciones IP internas, puede ejecutar un escaneo de puertos externo en cada uno de ellos, uno por uno, desde su cuadro Linux:

sudo nmap <internal-ip-address>

(requiere el paquete nmap ). Podría revelar puertos y servicios abiertos en varios dispositivos de los que quizás no tenga conocimiento.

    
respondido por el arielf 29.03.2014 - 00:45

Lea otras preguntas en las etiquetas