當主機被植入後門-另一個資安事件

最近我真是一個賽到不行,接二連三的遇到資安事件,昨天的DDOS資安事件是新的事件,上星期回老東家幫忙,因為換了主機之後,server被植入後門,但是後門在什麼東西都查不到,只知道他會用postfix這個user的身份來執行,指令只有一個字”S”,這個是舊事件了。

上星期就覺得整個狀況很怪,看了連線就有發現這樣的問題,抓到問題的指令很簡單,就是這個 Read more

ARCHLinux再探

前幾天用自己的老機器在公司測試ArchLinux,因為很多網友推薦,這是一套很彈性,效能好,又不吃資源的Linux作業系統,而且針對i686的CPU進行編譯,所以就算是新機器,也有支援。

公司那台舊電腦是AMD 散步龍的3000+、RAM1G、HD Sata1 80G(這個規格超屌~哈),怎麼裝就是裝不起來,手邊又有事情在忙,所以就丟下來沒有處理。 Read more

postfix Mail Server備份及還原

因為openwebmail auto-reply自動回信功能,對於企業的形象有關,所以我的老闆說這個功能一定要有,在我轉到nasmail之後,又要面對奇怪的internal server error,後來我判斷,應該是perl更新造成的問題。

2010/10/27號寫了MailScanner 無法順利啟動的問題,我想是這個時候造成的問題,才會在2010/12/05寫解決openwebmail internal server error 問題困擾,所以我才判斷問題出在perl語言包上。 Read more

解決openwebmail internal server error 問題困擾

因為我們的mail server是用linux架設起來的搭配
linux + postfix + Mail Scanner + spamassassin +Clam AV + openwebmail

為了滿足各種行動狀置的需求,我另外還開了imap但是,使用perl開發的openwebmail老是會出狀況,不是outlook 2007貼圖的郵件打不開要不然就是亂碼花了相當多的時間,都沒有辦法順利的處理煩人的「internal server error」原本想跟老闆要70萬,完全解決internal server error和共用通訊錄的問題,其實internal server error是大問題,LDAP共用通訊錄的部份也一直沒有時間去測試
老闆說,明年弄不好就要虧錢了,這樣的sulotion 我實在不敢提,這個預算實在很難花的下去
所以,我打算尋找openwebmail 的替代品。
Read more

MailScanner 無法順利啟動的問題

今天停電重開發生了一些狀況,是Mail不會動了
因為我的Mail Server是用postfix加上MailScanner組成的
所以,已經穩穩的跑了很久了
不知道怎麼搞的,就就上網查了一下,就查到相關的解法

service MailScanner start
Starting MailScanner daemons:
incoming postfix: [ OK ]
outgoing postfix: [ OK ]
MailScanner:

**** ERROR: You must upgrade your perl IO module to at least
**** ERROR: version 1.2301 or MailScanner will not work!

解法

wget http://search.cpan.org/CPAN/authors/id/G/GB/GBARR/IO-1.2301.tar.gz
          
tar xvfz IO-1.2301.tar.gz
cd IO-1.2301
perl Makefile.PL
make test
make install
重新再啟動服務就好
20101031 經過這樣的修正之後,還有另一個困擾我已久的問題也一併解決了

因為我們的主機會自動發一些通知信,因為通知信中帶有連結,MailScanner都會出現下類似下面的訊息

MailScanner has detected a possible fraud attempt from "192.168.XXX.YY" claiming to be

我找了相關的設定都找不到,結果處理完這個MailScanner無法啟動的問題之後,我同事跑來跟我說,信和之前長的不太一樣。
後來我知道知,Perl IO修正之後,MailScanner帶來的警告訊息也會一併被修正掉 呼終於解決了,長官抱怨這件事很久了。

MailScanner 內容誤判

myspam上線之後,發生了一個很特殊的狀況,我們某個客人寄來的信,都會判斷有問題,信件的內容被MailScanner給擋了下來,原本以為是附件格式的關係(純文字 or RTF-HTML),要不然就是UTF8被檔成了Big5、歐洲編碼的關係,結果不是,是因為內容誤判。打開MailScanner加上去的付件之後,才發現,原來是內容有問題,請看藍色字部份。

This is a message from the MailScanner E-Mail Virus Protection Service
———————————————————————-
The original e-mail attachment “msg-13172-87.txt”
is on the list of unacceptable attachments for this site and has been
replaced by this warning message.

If you wish to receive a copy of the original attachment, please
e-mail helpdesk and include the whole of this message
in your request. Alternatively, you can call them, with
the contents of this message to hand when you call.

At Tue Mar 9 17:56:01 2010 the virus scanner said:
MailScanner: No programs allowed (msg-13172-87.txt)

Note to Help Desk: Look on the Everenergy () MailScanner in /var/spool/MailScanner/quarantine/20100309 (message 1E5881DE80A8.29D84).

Postmaster

For all your IT requirements visit: http://www.transtec.co.uk

Read more

maillog中出現calmav無法更新的訊息

在整合完postfix+MailScanner+Clam AV+F-prot+openwebmal+procmail+My Spam之後,在觀察maillog之後,會看到下面這些訊息。
重點在於一行 ClamAV updater /usr/local/bin/freshclam cannot be run
怎麼回事,用MailScanner帶起Clam AV之後卻無法順利的更新病毒資料庫
其實這個問題之前就有發生了,只是我把freshclam的指令寫在cron table中
Read more

My Spam “procmail: Skipped “|/usr/bin/php -Cq /var/www/html/myspam/web/index.php save_spam” 問題處理

終於做到Myspam和MailScanner的整合段,MailScanner把郵件丟給Spamassaissn中去判斷垃圾信之後,丟給prcmail,procmail再依據規則丟給Myspam來處理。

可是我在看procmail.log的時候,出現了一行訊息
procmail: Skipped “|/usr/bin/php -Cq /var/www/html/myspam/web/index.php save_spam”
意思是說,跳過傳給Myspam的處理程式,要怎麼解呢?

網友Tommy說是指令打錯了,我的指令完全完抄官方文件的,怎麼可能會打錯,所以Tommy的說法是有問題的。Tommy自己寫的MySpam安裝的內容和安裝手策上一樣。

查了一下酷學園的資料,原作者twu2學長有說,可能是selinux造成的,去查了一下httpd的error log
[Tue Mar 02 19:42:05 2010] [notice] caught SIGTERM, shutting down
[Tue Mar 02 19:42:29 2010] [notice] SELinux policy enabled; httpd running as context root:system_r:httpd_t:s0
[Tue Mar 02 19:42:29 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Tue Mar 02 19:42:53 2010] [notice] Digest: generating secret for digest authentication …
[Tue Mar 02 19:42:53 2010] [notice] Digest: done
[Tue Mar 02 19:42:53 2010] [notice] mod_python: Creating 4 session mutexes based on 128 max processes and 0 max threads.
[Tue Mar 02 19:42:53 2010] [error] [client 60.251.247.2] Directory index forbidden by Options directive: /var/www/html/
[Tue Mar 02 19:42:53 2010] [notice] Apache/2.2.3 (CentOS) configured — resuming normal operations
[Wed Mar 03 01:55:37 2010] [error] [client 124.115.6.16] File does not exist: /var/www/mail/robots.txt
[Wed Mar 03 07:58:07 2010] [error] [client 124.115.6.16] File does not exist: /var/www/mail/robots.txt
果不其然,真的是selinux造成的,一般來說,我灌server,我都會把selinux關閉,不知道這次為什麼用DVD安裝的時候,沒有選項給我選。

好唄,關掉selinux吧!
vi /etc/selinux/config

SELINUX=enforcing===>SELINUX=disable

存檔 離開

修改 /etc/procmailrc

改一下規則,promailrc規則寫法不太一樣
官方的寫法是
:0
* ^X-Spam-Status: Yes{
:0: * ! ^X-MySPAM: YES
|/usr/bin/php -Cq /var/www/html/myspam/web/index.php save_spam
}

訊息是說
procmail: Skipped “|/usr/bin/php -Cq /var/www/html/myspam/web/index.php save_spam”
procmail: Closing brace unexpected
我在猜是因為{放在YES的後面照成的
去看了procmail的官法網頁
所以做了上面的規則改寫
LOGFILE=/var/log/procmail.log
MAILDIR=/var/mail

:0
* ^X-Spam-Status: Yes
{
:0
* ! ^X-MySPAM: YES
|/usr/bin/php -Cq /website/jlspam/web/index.php save_spam
}

:0 B
* ^X-Spam-Status: Yes
{
:0b
* ^X-MySPAM: YES
$DEFAULT
}

:0b
* ^X-Spam-Flag: YES
$DEFAULT

:0
* ^X-MySPAM: YES
$DEFAULT

重新開機….因為selinux改動了很多東西的設定
重開機會正常一點

==>再來玩MySpam吧!

PS.要一起看4個LOG真累(/var/log/maillog, /var/log/procmail/procmail.log,/var/log/httpd/access_log,/var/log/httpd/error_log)

2010-03-03_141404.jpg

无觅相关文章插件,快速提升流量