Pregunta principal:
¿Es posible ser infectado con un software de bot / spam en Ubuntu (o cualquier otra distribución)?
Detalles:
Mi ISP bloqueó mi puerto 25 (y 465) para conexiones salientes ( conexiones salientes, desde el hogar al servidor remoto) a SMTP, por lo que no puedo usar los correos electrónicos de mi empresa desde mi hogar en este momento. Su razonamiento para bloquearme es: "debido a que envías spam", lo cual no soy y me dijeron que si no lo estoy enviando, probablemente mi sistema operativo esté infectado ...
Podría usar una lista completa de herramientas y guías para verificar el sistema ( Ubuntu 13.10 14.04 64bit ) en busca de infiltrados / malware / rootkits.
PD
También tengo instalado Windows 8.1 (64 bits) solo porque también me gusta jugar en la computadora de mi casa ... pero eso es lo que solo hago en Windows ... cuando tengo tiempo ...
La conexión inalámbrica está apagada e incluso si está encendida está protegida con pase.
El escaneo de Windows no reveló nada ni debería haberlo hecho, ya que
hay ventanas y juegos instalados allí.Puedo conectarme a otros puertos para SMTP pero nuestro servidor usa 25 y eso no puede cambiar
También probé la conexión al puerto 25 desde Windows (usando Thunderbird)
Uso thunderbird para el cliente de correo electrónico en ubuntu y probé algunos otros solo para verificar que no era una configuración incorrecta de thunderbird.
Telneting también genera tiempo de espera de conexión ...
EDITAR:
Mi ISP aún se niega a desbloquearme ... Tal vez tendré que abrir 587 en el servidor, ya que eso no está bloqueado en este momento (todavía puedo usar Gmail)
EDITAR 2:
Supongo que hoy estuve conectado con otro técnico del soporte de mi ISP y me dijo que no hay un bloqueo de ellos ... ¡Estaba furioso! No sé qué estaba haciendo el técnico anterior ... tal vez es nuevo y estaba leyendo un guión ...
Así que probé otro ISP a través de la conexión desde mi teléfono y logré enviar correos electrónicos con éxito a través del puerto 25. Esencialmente no cambié nada, solo el ISP. ¿Me están tomando el pelo? ¿Quizás el soporte técnico no sabe cómo interpretar lo que buscan en sus pantallas para mi cuenta o podría ser otra cosa?
Otro paso que tomé fue restablecer completamente mi enrutador a su configuración predeterminada y obtener otra IP dinámica. Todavía no hay conexión al puerto 25.
Estoy planeando obtener un enrutador usado de algún amigo o algo para probar con otro enrutador solo para asegurarme de que el problema radica en mi ISP.
EDITAR 3: Ha pasado un tiempo desde mi última actualización de esta pregunta. Me mudé de regreso a mi antigua casa (que está en una parte diferente del país) donde tengo el mismo proveedor de internet. La misma compañia !! Mi configuración solo funciona como se esperaba. Puedo enviar correos electrónicos bien utilizando el puerto 25. Apuesto a que el problema era con ese desagradable enrutador ZTE que el ISP entrega a los nuevos clientes.
nmap somehost/24 -p 25
?Respuestas:
¿Es posible?
¿Por qué no lo sería? Ubuntu es un sistema realmente flexible que comparte muchos problemas con la mayoría de los otros sistemas operativos:
Seamos realistas sobre la seguridad aquí. Un exploit Flash multiplataforma podría traducirse fácilmente en un dropper cargando e instalando un demonio de spam que se ejecuta solo al iniciar sesión. No necesita root.
Vuelva a verificar la historia del ISP
"¡Pero mi ISP no me mentiría!" Dijo que nadie nunca . Muchos ISP domésticos bloquean habitualmente el puerto 25 y otros lo obligan a usar sus servidores SMTP (esa es la única conexión p25 saliente que permitirán).
Ser moderador me permite ver su IP y he revisado el ISP de su hogar. Si buscas en Google su nombre y "puerto 25" o "smtp", verás a muchas otras personas en situaciones similares. Y tienen un servidor SMTP central.
Sé que dijiste que este es un problema nuevo, pero solo verifica que no sea tu ISP (o que necesite la configuración correcta mientras estás en tu ISP). La solución al final aún debería funcionar para usted.
Encontrando el problema
Aunque es posible, todavía no estoy seguro de que sea el objetivo más probable. Si eres como yo, estás rodeado de dispositivos conectados a Internet y necesitas mirarlos a todos.
Comenzaría pidiéndole al ISP alguna evidencia. Las marcas de tiempo al mínimo, pero sería genial ver lo que están usando para asegurarse de que no se haya salido mal una marca automática.
Registre la actividad saliente del puerto 25 con algo como:
Sinceramente, no estoy seguro de si eso funcionará si ya estás bloqueado, pero vale la pena intentarlo. Varios firewalls de Windows le ofrecerán varias alternativas de registro.
Tenga en cuenta que cualquier dispositivo en su conexión podría estar enviando correos electrónicos, no solo su computadora. Teléfonos, tostadoras habilitadas para wifi, vecinos traviesos, etc. Encontrar lo que está enviando este correo podría requerir una intercepción y registro de paquetes a nivel de red. Todo esto es posible, pero es un dolor en la parte trasera.
Una vez que haya agotado las posibilidades más probables, elija su software antivirus Linux . No puedo hablar personalmente por ninguno de ellos o sus tasas de detección.
Trabajando alrededor de un bloque inmediatamente
Si necesita continuar, la forma más fácil de continuar enviando correos electrónicos es a través de algún tipo de conexión ofuscada o encriptada. Si tiene acceso a un servidor SSH (por ejemplo, en el trabajo), ese puede ser el mejor método.
Luego simplemente modifique su cliente de correo electrónico para usar una dirección proxy SOCKS
localhost
, puerto9100
. Su ISP no podrá interferir con esto y me sorprendería mucho si lo que envía el correo no deseado puede adivinar la configuración de SOCKS.¿Qué es lo más probable en este caso ...?
Verifique si puede enviar correos electrónicos a través del servidor SMTP de su ISP. Lo he comprobado, el tuyo tiene uno. Pueden estar obligando a todos sus usuarios a usarlo, ya que es muy común. La persona de soporte técnico podría estar confundida.
Solicite a otro usuario (con otra cuenta, en otra línea telefónica) que intente conectarse al SMTP de su empresa. Esto se puede hacer rápidamente con
telnet example.com 25
.Si no pueden conectarse, suponga que esto es para todo el ISP, no solo su cuenta, por lo que probablemente no sea un problema de seguridad ... Es algo con lo que tendrá que trabajar o evitar.
Si pueden conectarse, estás de vuelta en el punto de partida. Ha habido algo enviando un correo electrónico desde su red que ha provocado que su ISP lo bloquee. Los virus, la monitorización del tráfico y la paranoia son tus mejores amigos aquí.
fuente
rkhunter
. Tal vez estoy siendo injusto, pero no los cuento en la misma liga que los demás.Ciertamente es posible estar infectado y ser parte de una botnet en Ubuntu. Pero también es muy, muy poco probable.
Debería poder pedirle a su ISP sus registros. Te ayudarán a encontrar el problema. Es difícil diagnosticarlo desde aquí, pero su conexión inalámbrica tiene una buena probabilidad de ser la culpable. Compruebe que está utilizando WPA2 por seguridad y que WPS está desactivado.
Después de resolver su problema y dejar de enviar spam por un tiempo, probablemente pueda convencer a su ISP para que desbloquee sus puertos.
fuente
Es una práctica común bloquear el puerto saliente 25, ya que debido a las preocupaciones de spam, se desanimó para el envío original de correo electrónico. Todavía se usa entre servidores de correo.
El puerto adecuado (y generalmente no bloqueado) para enviar correo electrónico (original) es el puerto 587, el llamado puerto de envío. Los proveedores de correo generalmente lo admiten, los operadores del sistema generalmente no lo bloquean.
fuente
Muchos ISP bloquean los puertos 25 y 80 para todas sus cuentas de consumidor. Yo uso un servicio de alojamiento web que incluye servicio de correo electrónico. me proporcionan un servidor smtp en un puerto no estándar para correo electrónico saliente. Funciona en cualquier parte. Es muy posible que tenga acceso a algo similar. Piense en los servicios que ya tiene e indague.
fuente
Muchas de las otras respuestas se centran en que alguien use su wifi o infecte sus máquinas. Estos son posibles pero pasan por alto la explicación más simple (la navaja de afeitar de Occam ...).
Lo más probable es que esté actuando como un relé abierto, lo que significa que cualquier persona en el mundo puede conectarse a su máquina y simplemente pedirle amablemente que envíe correo a algún lugar, y lo hará, sin hacer preguntas. Esto es con frecuencia por qué los ISP lo bloquearán porque es una prueba simple para que lo hagan. Analizarán el bloqueo de IP de sus clientes y pedirán cualquier cosa en el puerto 25 para transmitir un mensaje de prueba y, si lo hace, es un spammer. Puede ser el caso de que nadie esté usando su relé, pero su mera existencia es suficiente para ser bloqueado.
Para probar si es un retransmisor abierto, haga telnet a su servidor de correo y hable con él. Las líneas en negrita son las que escribe.
Las líneas que se escriben son los
helo
,mail from:
yrcpt to:
las líneas. Asegúrese de usar direcciones que no sean locales para usted, ambas deben ser hosts remotos. Si no recibe el error554 relay denied
, es una puerta de enlace de spam mal configurada y correctamente bloqueada.La forma más sencilla de remediar esto es requerir autenticación para enviar correo a través de su MTA. Los detalles para configurar esto dependen del MTA que esté ejecutando, un detalle que no está presente en su pregunta.
fuente
Solo para asegurarse de que no tenga algo malo ejecutándose en su caja o red Linux.
Comprueba tu red tú mismo
Comience ejecutando esto en su máquina Linux en casa:
Esto enumerará todas las conexiones tcp que están establecidas o que están escuchando (con servidores detrás de ellas). Si hay algo que no espera, debe investigar más a fondo.
Otro comando muy útil que enumeraría todos los procesos con conexiones a Internet que mantuvieron abiertos es:
(necesitará tener el
lsof
paquete instalado).Tenga en cuenta que las pruebas anteriores no cubrirán otros dispositivos que compartan su conexión a Internet: teléfono, tabletas, dispositivos habilitados para Internet, vecinos que aprovechan su conexión, etc., como mencionó Oli. Si tiene una lista de sus IP internas, puede ejecutar un escaneo de puertos externo en cada una de ellas, una por una, desde su caja de Linux:
(requiere el
nmap
paquete). Puede revelar puertos y servicios abiertos en varios dispositivos que quizás no conozca.fuente