Forum

Bildirimler
Hepsini Temizle

Hmail Server Üstünden Dışarıdan Yetkisiz Giriş !

9 Yazılar
4 Üyeler
0 Reactions
1,633 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Hmail server'in log kayıtlarına baktım.

 

FROM Gönderici kısmında sürekli domainime ait gibi görünen ama ait olmayan sahte kullanıcılar mevcut. 

 

Hemen serverdan  atılmış bir mailin HEADER bölümünü göstericem:

 

Received: from Smkt ([187.23.162.7])
    by benim-gercek-domain-ismim.com
    ; Fri, 28 Sep 2012 18:09:16 +0300
Message-ID: <58A292F4-7D0F-4F05-855C-B5A7C1737565@benim-gercek-domain-ismim.com>
From: "Olivia AKMOS" <[email protected]>
Subject: 4.000 por =?ISO-8859-1?Q?m=EAs est=E1?= bom ou quer mais?
To: [email protected]
Content-Type: text/html
Reply-To: [email protected]
Date: Fri, 28 Sep 2012 12:09:11 -0300

 

Gördüğünüz gibi gönderici kısmında [email protected] isminde bir adres var domain bana ait ama aslında "wjdr" adlı kullanıcı hesabı yok gerçekte. 

Mail serverı kullanarak mail atan IP: 187.23.162.7 Görünüyor ama sonu sürekli değişiyor bu IP nin yani  187.23.162.7  IP den 40 mail atmışsa 59 tane mail de 187.23.162.97  ip si kullanılarak gönderiliyor. 

 Mail server'ım da sadece 2 domain var ve bu domainlerden biri ile yapılıyor bu işlem.

 

AKLIMA ŞU GELDİ !

Kullandığım PHP  tabanlı scriptlerde bir açık vardı ve script üstünden mail atılıyordu,  mantıklı değil mi ? 

Hemen APACHE   LOG   kayıtlarına baktım ama  mail serverdan mail atan 187.23.162.7 ve diğer IP ler,  ne access nede error logları içerisinde yer almıyor. Bir tanesi bile yok IP lerin.

 Demek ki mail serverı kullanarak mail atan kişi yada yazılım,  yada her ne teknoloji ise,  sitelere girip siteler üstünden PHP açıklarını kullanarak erişim sağlamıyor, post yada get motodları ile.

Geriye kalıyor kullandığım BEDAVA mail server ...

 

Şimdi iyice detaylara girmek istiyorum.

 

Makine de  uzak masa üstü bağlantısı yok,  80, 110, 25, 53 nolu portlar dışında güvenlik adına başka hiç bir port açık değil, buna ftp ve mysql da dahil. 

Kullanılan mail server: HMail 5.4 - b1942  sürümü,     mail serverda sadece 2 domain bulunuyor ve sadece 1 mail account var, var olan mail account catchall olarak kullanılmakta. Bu var olan 1 adet mail hesabının  uzun bir şifresi var.

 

Şimdi beyler biliyorum genelde sizler, mail enable yada icewarp gibi çözümler kullanıyorsunuz ama muhtemelen hmail i kullanmış yada denemişsinizdir.

Sizce bu işin kaynağı, aslı astarı nedir ? 

 

Dışarıdan mail atmak için SMTP bilgilerini  bilmek lazım bilmeden mail nasıl atılıyor ? Hmail server yazılımında bir açık mı var, bilerek  bırakılmış yada bilinmeyen bir açık mı ? 

 

İngilizcem yeterli olmadığı için hmail ekibine değilde konuyu burada açtım, şimdiden ilgi için tşkler. 

 
Gönderildi : 28/09/2012 21:48

(@bilgehanpoyraz)
Gönderiler: 809
Illustrious Member
 

Sunucunun RELAY'i açık gibi grünüyor. http://www.mailradar.com/openrelay/  adresine giderek sunucunun relay testini yapın.


sonuca göre konuşalım.

 
Gönderildi : 29/09/2012 01:03

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Sunucunun RELAY'i açık gibi grünüyor. http://www.mailradar.com/openrelay/  adresine giderek sunucunun relay testini yapın.

sonuca göre konuşalım.

 

Cevap için tşk ederim, hemen verdiğiniz linkten test yaptım   

[Method 2] 

[TEST NOT PASSED]

 

[Method 14]

[TEST NOT PASSED]

 

All tested completed! Relays accepted by remote host.

 

Şeklinde  cevaplar geldi  toplam 18 test yapıldı üstteki 2 testte uyarı alındı

 

 

Mesela  bu  Method 1 sonucu

<<< 220 HELO DOMAIN_ISMI
>>> HELO mailradar.com
<<< 250 Hello.
>>> MAIL FROM: <[email protected]>
<<< 250 OK
>>> RCPT TO: [email protected]
<<< 530 SMTP authentication is required.      
>>> QUIT
<<< 221 goodbye

 

Smtp sunucum üstünden "SMTP kimlik doğrulaması gerekli"   yanıtı alıyor mailradar, yani bu smtp ayarlarımda bir sorun olmadığını gösteriyor değil mi ? 

 

Şu an sorun devam etmekte  mail serverda silmeme rağmen 1-2 saat içerisinde  549 Mail göndeirlmeyi bekliyor. 187.23.162.97 IP  görünüyor,  ve mail atılan alıcılar  hep  BR,  brazilya   uzantılı   mailler,  genelde   göndeirlen bir mailin  alıcı sayısıda  10 yada 20 kişiden oluşuyor. 

 
Gönderildi : 29/09/2012 02:07

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Ayrıca Hmail server da SMTP setting içerisinde bulunan,  SMTP Relayer ayarları kapalı durumda SMTP Relayer e hiç bir bilgi girilmiş durumda değil.

 

rlay bilgileri 

 

Bu alanda  bir değişiklik yapmak mı gerekli acaba ?

 
Gönderildi : 29/09/2012 02:13

(@bilgehanpoyraz)
Gönderiler: 809
Illustrious Member
 

OOO RELAY açık. Hemen yukarıdaki Server Requires autentication kutusunu işaretleyip save edin. Servisleri restart edin ve mail kuyruğunu temizleyin.


acele edin black liste gireceksiniz.


 


 

 
Gönderildi : 29/09/2012 02:34

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

OOO RELAY açık. Hemen yukarıdaki Server Requires autentication kutusunu işaretleyip save edin. Servisleri restart edin ve mail kuyruğunu temizleyin.

acele edin black liste gireceksiniz.

 

 

Cevap için çok teşekkür ederim beni çok aydınlattınız, önceden hiç Relay kullanımına ihtiyac duymamıştım, kullandığım bir fonksiyon değildi. İşin ilginci hmailserver da relay'ı bir türlü kapatamadım. Yaptığım testlerde hep açık görünüyor,  bende ralayın portunu değiştirdim ve kullanıcı adı şifre atadım. 

Şu anda  biriken mailleride temizlemiş durumdayım, şu an yabancı IP ler ve atılan mailler görünmüyor. Hmail için söyleyeceğim ise bedava etin haynisi bu kadar olur üstteki resimden başka relay ayarı yok,  programı yapan insanlar nasıl olmuşta bir ON / OFF işlemi görecek düğme (fonksiyon) koymamışlar, ilginc oğlu ilginc.

 
Gönderildi : 29/09/2012 07:20

(@SonerCELiKTAS)
Gönderiler: 4
Active Member
 
yukarıda nefrit rumuzlu arkadaşın yaşadığı problemin aynısını son bir iki haftadır yaşıyoruz, ve problemin kaynağını bulduk, kullandığımız yöntem aşağıda anlatılmıştır. nefrit ' in sunucusunda çok fazla posta kullanıcısı yokmuş ama bizde çok fazla kullanıcı var bu nedenle hangi posta kullanıcısının şifresi ele geçirildi bu spamların kaynağı nerede sorusuna cevap olacaktır.
               hmailServer üzerinden spam mail gönderilme durumu yaşanırsa kuyrukta pek çok mail birikir. Bu durumda tanımlı bir kullanıcının mail adresi ve şifresi spam göndermek isteyenler tarafından ele geçirilmiş olabilir.
 

image001

               Problemli kullanıcıyı bulmak için SMTP loğlarının alınması sağlanmalı. Problemi
tespit edebilecek miktarda veri toplandıktan sonra, bu veriler aşağıdaki
şekilde analiz edilerek bulunur.

                Logların tutulduğu klasörde hmailserver_tarih olarak yazan dosya alınır. Bu
dosya excel içinden açılır. Açılış sırasında sekme vb. ile ayrılmış dosya
olarak seçilerek alanlar hücrelere oturur.

                hmailserver belli bir süre bağlantıdan sonra yeniden authenticate olunmasını
ister. Böyle bir durumda loglarda
“SENT: 550 Login credentials no longer
valid. Please re-authenticate.”
Şeklinde bir ifade bulacaksınız. Bu
ifadenin olduğu satırdaki üçüncü sütunda yer alan session no’dan ve birinci
sütundan SMTPD seçenekleri ile filtre ederek ilk bağlantının yapıldığı
bilgilere ulaşılır. Bu bilgilerdeki kullanıcı adını gösteren veri base64 ile
kodlanmıştır.

 

[IMG]= [/IMG]

 

               Kodlanmış
bilgiyi http://www.base64decode.org/
adresinden decode ederek kullanıcı adı tespit edilir.

 [IMG]= [/IMG]

 

 M.Emin Şahin 

 
Gönderildi : 12/09/2013 11:38

(@aydinunlu)
Gönderiler: 14
Eminent Member
 

Merhaba ;

 

Aynı sorun benim mail sunucumda da var. Bu konuda bir bilgisi olan var mı acaba ?

 

İyi Çalışmalar. 

 
Gönderildi : 22/10/2013 19:06

(@bilgehanpoyraz)
Gönderiler: 809
Illustrious Member
 

Aydın bey isminizi Aydın UNLU olarak düzeltmenizi rica ediyoruz. Bunun dışında LOG'lardan hangi kullanıcının aşırı mail yolladığını ip adresini vererek görebilir ve temizleyebilirsiniz. Makinada trojan gibi yazılımlar varsa buna karşı local relay dolayısı ile sıkıntı yaşıyor olabilirsiniz...

 
Gönderildi : 24/10/2013 03:12

Paylaş: