- hansfilipelo
- Medlem ●
- Linköping
- 2014-07-23 08:40
Bakgrund:
Min OSX Server agerar bland annat webb- och mejlserver åt ett dussin domäner. För några månader sedan fick jag ett intrång i en ouppdaterad wordpressinstallation på den vilket resulterade i att servern under ett par dagar agerade proxy för utskick av skräppost. Servern svartlistades i ett gäng RBL:er, men efter att jag säkrat upp den och städat bort skriptet så var allt frid och fröjd. Ett par veckor senare hände samma sak, men den här gången lyckades jag missa ett av skripten som installerades. Det i sin tur lade upp ett cronjob som skickade info om servern till en mejladress regelbundet. Som tur var hittade jag det utan att någon mejl gått iväg eftersom jag låst mejlkön tills allt var uppstädat.
Som en sista säkerhetsåtgärd för att verkligen försäkra mig om att ingen otillåten mejltrafik går ut har jag nu konfigurerat servern så att all mejl först körs genom ClamAV och Amavisd lokalt, sedan skickas till en sekundär mejlserver via en icke-standardport för mejltrafik (för att ingen ska kunna tunnla till den otillåtet) som även kräver SMTP auth via CRAM-MD5. På den sekundära servern körs mejlen ett varv till för koll av skräppost och virus innan den slutligen levereras ut till mottagaren.
För att allt verkligen ska ta den vägen så har jag också spärrat utgående trafik på port 25 i servern, ifall något program går förbi Postfix för utgående mejltrafik.
Problemet:
Nu har jag kört så här några veckor och det ser ut att ge det resultat jag önskar. I loggarna på sekundära servern ser det ut att endast vara tillåten trafik. Samma sak på den primära.
Men, nu ser jag att de senaste två dagarna har jag loggat spärrad trafik i brandväggen från en märklig lokal port som försöker skicka ut på port 25.
Jul 22 18:47:00 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56975 209.86.93.229:25 out via en0
Jul 22 18:47:00 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56976 209.86.93.226:25 out via en0
Jul 22 18:47:00 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56977 173.194.71.26:25 out via en0
Jul 22 18:47:01 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56978 173.194.64.26:25 out via en0
Jul 22 18:47:01 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56979 152.163.0.100:25 out via en0
Jul 22 18:47:01 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56980 64.12.88.163:25 out via en0
Jul 22 18:47:01 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56981 64.12.88.164:25 out via en0
Jul 22 18:47:01 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56982 64.12.91.195:25 out via en0
Jul 22 18:47:01 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56983 74.125.142.27:25 out via en0
Jul 22 18:47:01 server ipfw[789]: 1010 Deny TCP 192.168.0.250:56984 74.125.137.27:25 out via en0
Fråga:
Hur kan jag hitta vilket program som står bakom ovan spärrade trafik?
Har mer erfarenhet av serveradministration på linux men där kan man, som root, köra "lsof -i :port" för att se vilka applikationer som öppnar trafik mot den porten.
lsof bör finnas även i OS X.
edit: Finns det någon anledning till att du kör OS X Server? Hela anledningen till intrånget är ju att du ej uppgraderat Wordpress. Med Debian eller Ubuntu har du pakethanterare som du kan använda för unattended-upgrades vilket gör att du slipper patcha manuellt så fort det släpps en säkerhetsfix eftersom den löser det åt dig.