Hauptfrage:
Kann man unter Ubuntu (oder einer anderen Distribution) überhaupt mit einer Bot- / Spam-Software infiziert werden?
Einzelheiten:
Mein ISP hat meinen Port 25 (und 465) für ausgehende Verbindungen (ausgehende Verbindungen, von zu Hause zum Remote-Server) zu SMTP blockiert , sodass ich meine geschäftlichen E-Mails derzeit nicht von zu Hause aus verwenden kann. Ihre Gründe, mich zu blockieren, sind: "Weil du Spam sendest", was ich nicht bin, und sie sagten mir, wenn ich nicht sende, ist mein Betriebssystem wahrscheinlich infiziert ...
Ich könnte eine umfassende Liste von Tools und Anleitungen verwenden, um das System ( Ubuntu 13.10 14.04 64bit ) auf Infiltrate / Malware / Rootkits zu überprüfen .
PS
Ich habe auch Windows 8.1 (64bit) installiert, nur weil ich auch gerne auf meinem Heimcomputer spiele ... aber das mache ich nur unter Windows ... wenn ich Zeit habe ...
WLAN ist ausgeschaltet und auch wenn es eingeschaltet ist, ist es passgeschützt.
Das Durchsuchen von Fenstern hat nichts ergeben und sollte es auch nicht geben, da
dort Windows und Spiele installiert sind.Ich kann eine Verbindung zu anderen Ports für SMTP herstellen, aber unser Server verwendet 25 und das kann sich nicht ändern
Ich habe auch die Verbindung zu Port 25 von Windoze aus getestet (mit Thunderbird)
Ich benutze Thunderbird als E-Mail-Client für Ubuntu und habe einige andere getestet, um sicherzustellen, dass es sich nicht um eine Fehlkonfiguration von Thunderbird handelt.
Telneting gibt auch Verbindungs-Timeout aus ...
BEARBEITEN:
Mein ISP weigert sich immer noch, mich zu entsperren ... Vielleicht muss ich 587 auf dem Server öffnen, da das momentan nicht gesperrt ist (ich kann immer noch Google Mail verwenden)
EDIT 2:
Ich schätze heute war ich mit einem anderen Techniker von meinem ISP verbunden und sagte mir, dass es keinen Block von ihnen gibt ... Ich war wütend !!! Ich weiß nicht, was der vorherige Techniker getan hat. Vielleicht ist er neu und liest aus einem Drehbuch.
Also habe ich einen anderen ISP über Tethering von meinem Telefon aus getestet und es ist mir gelungen, E-Mails über Port 25 zu senden. Im Grunde habe ich nichts geändert, nur den ISP. Scherzen sie mich? Vielleicht kann der technische Support nicht interpretieren, was sie für meinen Account auf ihren Bildschirmen sehen, oder könnte es etwas anderes sein?
Ein weiterer Schritt, den ich unternahm, war, meinen Router vollständig auf seine Standardeinstellungen zurückzusetzen und eine andere dynamische IP zu erhalten. Immer noch keine Verbindung zu Port 25.
Ich plane, einen gebrauchten Router von einem Freund oder einem anderen zu kaufen, um ihn mit einem anderen Router zu testen, nur um sicherzugehen, dass das Problem bei meinem ISP liegt.
EDIT 3: Es ist eine Weile her seit meinem letzten Update zu dieser Frage. Ich bin in mein altes Haus (das sich in einem anderen Teil des Landes befindet) zurückgezogen, wo ich denselben Internetprovider habe. Die gleiche Firma !! Meine Einstellungen funktionieren einfach wie erwartet. Ich kann problemlos E-Mails über Port 25 senden. Ich wette, das Problem lag bei diesem fiesen ZTE-Router, den der ISP an neue Kunden verteilt.
nmap somehost/24 -p 25
?Antworten:
Ist es überhaupt möglich?
Warum sollte es nicht so sein? Ubuntu ist ein wirklich flexibles System, das viele Probleme mit den meisten anderen Betriebssystemen teilt:
Seien wir hier nur realistisch in Bezug auf die Sicherheit. Ein plattformübergreifender Flash-Exploit kann leicht dazu führen, dass ein Dropper geladen und installiert wird, der sich bei der Anmeldung selbst ausführt. Es braucht keine Wurzel.
Überprüfen Sie die Geschichte des Internetdienstanbieters
"Aber mein ISP würde mich nicht anlügen!" sagte niemand jemals . Viele Heim-ISPs blockieren normalerweise Port 25 und andere zwingen Sie, ihre SMTP-Server zu verwenden (dies ist die einzige ausgehende p25-Verbindung, die sie zulassen).
Als Moderator kann ich Ihre IP-Adresse sehen und habe Ihren ISP zu Hause überprüft. Wenn Sie ihren Namen und "Port 25" oder "smtp" googeln, sehen Sie viele andere Personen in ähnlichen Situationen. Und sie haben einen zentralen SMTP-Server.
Ich weiß, dass Sie gesagt haben, dass dies ein neues Problem ist, aber überprüfen Sie noch einmal, ob es nicht Ihr ISP ist (oder ob Sie auf Ihrem ISP die richtigen Einstellungen benötigen). Die Problemumgehung am Ende sollte weiterhin für Sie funktionieren.
Das Problem finden
Obwohl möglich, bin ich mir immer noch nicht sicher, ob es das wahrscheinlichste Ziel ist. Wenn Sie so etwas wie ich sind, sind Sie von Geräten mit Internetanschluss umgeben und müssen sich alle ansehen.
Ich würde damit beginnen, den ISP nach Beweisen zu fragen. Zeitstempel sind das Nötigste, aber es wäre großartig zu sehen, was sie verwenden, um sicherzustellen, dass es sich nicht um ein falsches Auto-Flag handelt.
Protokolliere ausgehende Port 25-Aktivitäten mit etwas wie:
Ich bin ehrlich gesagt nicht sicher, ob das funktionieren wird, wenn Sie bereits blockiert sind, aber es ist einen Versuch wert. Verschiedene Windows-Firewalls bieten verschiedene Protokollierungsalternativen.
Beachten Sie, dass jedes Gerät in Ihrer Verbindung E-Mails senden kann, nicht nur Ihr Computer. Telefone, WLAN-fähige Toaster, ungezogene Nachbarn usw. Das Abfangen und Protokollieren von Paketen auf Netzwerkebene kann erforderlich sein, um festzustellen, was diese E-Mails senden. Dies ist alles möglich, aber es ist ein Schmerz im Heck.
Sobald Sie alle Möglichkeiten ausgeschöpft haben, können Sie sich für eine Linux-Antivirensoftware entscheiden . Ich kann für keine von ihnen oder ihre Erkennungsraten persönlich sprechen.
Block sofort umgehen
Wenn Sie weitermachen müssen, können Sie E-Mails am einfachsten über eine verschleierte oder verschlüsselte Verbindung versenden. Wenn Sie Zugriff auf einen SSH-Server haben (z. B. bei der Arbeit), ist dies häufig die beste Methode.
Ändern Sie dann einfach Ihren E-Mail-Client, um eine SOCKS-Proxy-Adresse
localhost
, einen Port, zu verwenden9100
. Ihr ISP wird dies nicht stören können, und ich wäre sehr überrascht, wenn das, was auch immer den Spam sendet, die SOCKS-Konfiguration erraten könnte.Was ist in diesem Fall am wahrscheinlichsten ...?
Überprüfen Sie, ob Sie E-Mails über den SMTP-Server Ihres Internetdienstanbieters senden können. Ich habe nachgesehen, deins hat eins. Sie könnten alle ihre Benutzer dazu zwingen, es zu verwenden, da dies sehr verbreitet ist. Die Person des technischen Supports ist möglicherweise nur verwirrt.
Bitten Sie einen anderen Benutzer (mit einem anderen Konto, über eine andere Telefonleitung), eine Verbindung zum SMTP Ihres Unternehmens herzustellen. Das geht schnell mit
telnet example.com 25
.Wenn sie keine Verbindung herstellen können, gehen Sie davon aus, dass dies ISP-weit ist - nicht nur Ihr Konto -, sodass es wahrscheinlich kein Sicherheitsproblem ist.
Wenn sie sich verbinden können, sind Sie wieder auf dem ersten Platz. Es wurde eine E-Mail von Ihrem Netzwerk gesendet, die Ihren Internetdienstanbieter dazu veranlasst hat, Sie zu blockieren. Virus Sweeps, Traffic Monitoring und Paranoia sind hier Ihre besten Freunde.
quelle
rkhunter
. Vielleicht bin ich unfair, aber ich zähle sie nicht in der gleichen Liga.In Ubuntu ist es durchaus möglich, infiziert zu werden und Teil eines Botnetzes zu sein. Aber es ist auch sehr, sehr unwahrscheinlich.
Sie sollten in der Lage sein, Ihren ISP nach ihren Aufzeichnungen zu fragen. Sie werden Ihnen helfen, das Problem zu finden. Von hier aus ist es schwer zu diagnostizieren, aber Ihr WLAN hat eine gute Chance, die Schuld zu tragen. Vergewissern Sie sich, dass Sie aus Sicherheitsgründen WPA2 verwenden und WPS deaktiviert ist.
Nachdem Sie das Problem behoben und das Versenden von Spam für eine Weile eingestellt haben, können Sie Ihren Internetdienstanbieter möglicherweise überreden, die Sperrung Ihrer Ports aufzuheben.
quelle
Es ist gängige Praxis, ausgehenden Port 25 zu blockieren, da er aufgrund von Spam-Bedenken für die ursprüngliche Übermittlung von E-Mails nicht mehr geeignet ist. Es wird immer noch zwischen Mailservern verwendet.
Der richtige (und normalerweise nicht gesperrte) Port für die Übermittlung von (Original-) E-Mails ist Port 587, der sogenannte Übermittlungsport. Mail-Provider unterstützen es normalerweise, Systembetreiber blockieren es normalerweise nicht.
quelle
Viele ISPs blockieren die Ports 25 und 80 für alle ihre Verbraucherkonten. Ich verwende einen Webhosting-Dienst, der auch E-Mail-Dienste umfasst. Sie stellen mir einen SMTP-Server an einem nicht standardmäßigen Port für ausgehende E-Mails zur Verfügung. Es funktioniert überall. Möglicherweise haben Sie Zugriff auf etwas Ähnliches. Überlegen Sie, welche Services Sie bereits haben, und untersuchen Sie sie.
quelle
Viele der anderen Antworten beziehen sich auf jemanden, der Ihr WLAN nutzt oder Ihre Maschinen infiziert. Diese sind möglich, übersehen aber die einfachste Erklärung (Ockhams Rasiermesser ...).
Sie agieren höchstwahrscheinlich als offenes Relay, was bedeutet, dass jeder auf der Welt eine Verbindung zu Ihrem Computer herstellen kann und es einfach nett anfordert, E-Mails an einen anderen Ort zu senden. Dies ist häufig der Grund, warum ISPs Sie blockieren, da dies ein einfacher Test für sie ist. Sie scannen ihren Kunden-IP-Block und fordern an Port 25 alles auf, eine Testnachricht weiterzuleiten. Wenn Sie dies tun, sind Sie ein Spammer. Es mag sein, dass niemand Ihr Relais tatsächlich benutzt, aber seine bloße Existenz reicht aus, um blockiert zu werden.
Um zu testen, ob Sie ein offenes Relay sind, rufen Sie Ihren Mailserver per Telnet an und sprechen Sie mit ihm. Die fetten Linien sind diejenigen, die Sie eingeben.
Die Linien der Eingabe sind die
helo
,mail from:
undrcpt to:
Linien. Stellen Sie sicher, dass Sie Adressen verwenden, die für Sie nicht lokal sind. Beide müssen Remotehosts sein. Wenn Sie den Fehler nicht erhalten554 relay denied
, sind Sie ein falsch konfiguriertes Spam-Gateway und zu Recht blockiert.Die einfachste Möglichkeit, dies zu beheben, besteht darin, eine Authentifizierung zum Senden von E-Mails über Ihren MTA erforderlich zu machen. Die Details zum Einrichten hängen von dem von Ihnen ausgeführten MTA ab, ein Detail, das in Ihrer Frage nicht vorhanden ist.
quelle
Nur um sicherzustellen, dass auf Ihrer Linux-Box oder Ihrem Netzwerk nichts Schlimmes läuft.
Überprüfen Sie Ihr Netzwerk selbst
Führen Sie dies zunächst auf Ihrem Linux-Computer zu Hause aus:
Dies listet alle TCP-Verbindungen auf, die entweder hergestellt oder überwacht werden (mit Servern dahinter). Wenn Sie etwas nicht erwarten, sollten Sie es weiter untersuchen.
Ein weiterer sehr nützlicher Befehl, der alle Prozesse mit offenen Internetverbindungen auflistet, ist:
(Sie müssen das
lsof
Paket installiert haben.)Beachten Sie, dass die obigen Tests keine anderen Geräte erfassen, die Ihre Internetverbindung gemeinsam nutzen: Telefon, Tablets, internetfähige Geräte, Nachbarn, die auf Ihrer Verbindung huckepack nehmen usw., wie von Oli erwähnt. Wenn Sie eine Liste Ihrer internen IPs haben, können Sie einen externen Port-Scan für jede dieser IPs einzeln von Ihrer Linux-Box aus ausführen:
(benötigt das
nmap
Paket). Möglicherweise werden Ports und Dienste angezeigt, die auf verschiedenen Geräten geöffnet sind, von denen Sie möglicherweise nichts wissen.quelle