14 ส.ค.53 สังเกตอาการครึ่งวันที่ผ่านมา ผลเป็นที่น่าพอใจกรณีหยุดยิงออก คือ 1) ผลการรับ และส่งระหว่าง hotmail.com และ gmail.com ได้ระดับหนึ่ง หลังย้าย smtp ของ webmail กลับมาที่เครื่อง it เพราะพบว่าเครื่อง cat ปฏิเสธให้บริการ อาจเป็นเพราะเรายิงมากไป จนเขากรองไม่ไหวเรื่อง black list (ไว้ว่ากันภาคต่อไป) สรุปว่าการติดต่อกับ gmail มีปัญหาทั้งส่งไม่ออกและรับไม่ได้ ส่วน hotmail พบว่าส่งไปหา hotmail แล้วหายไป แต่รับจาก hotmail ได้ เครื่องบริการรับส่งในเครือข่ายได้ รับจาก hotmail และที่อื่นได้ ยกเว้นที่ gmail เป็นต้น (ปัญหา hotmail กับ gmail มีแนวทางแก้ไข จะว่ากันภาำคต่อไป ถ้าเครื่องเราสะอาดแล้ว ย่อมแก้ไขได้) 2) การแก้ไขอาการส่งอีเมลจากเครื่องบริการเป็น junk ไปหาคนอื่น หรือที่เรียกว่าถูกใช้ยิงเมล ซึ่งเป็นปัญหาที่พยายามแก้มา 2 สัปดาห์หายไปแล้ว เพราะใช้ spamassassin จับ postfix ใน master.cf สำหรับขาใน คือ unix 3) การยิงผ่าน squirrelmail ถูกหยุดได้แล้ว โดยใช้ deny from 41.0.0.0/32 กับ virtual host:ssl พบว่าไม่มีการยิงผ่าน compose.php อีก ใช้วิธีการ block ผ่าน apache แทนการ upgrade application 4) สรุปว่าอาจเป็นการพักรบ .. จึงต้อง monitor กันต่อไป ว่า log ตัวใดจะแสดงอาการผิดปกติให้เห็นอีก เพราะที่สังเกตพบ ได้มาจาก maillog และ access_log และ ps -aux และ /var/mail เป็นหลัก
+ http://www.thaiall.com/isinthai
Tag: squirrelmail
ตรวจการติด Black List หลังพบปัญหา
27 ส.ค.52 วันนี้ตรวจสอบ queue ของ smtp server พบว่ามี mail ค้างกว่าหมื่นฉบับ ตรวจพบว่าผู้ส่งคือสมาชิกในองค์กรของเรา แต่เขาไม่น่าจะเป็นผู้ส่งเมลขนาดนี้ เมื่อตรวจในรายละเอียดก็พบว่าส่งจาก squirrelmail ซึ่งเป็น webbased mail และก็พบว่าการส่งนั้นมาจาก webbased mail ที่ถูก hack แม้จะใช้ ssl กรองด่านแรกแล้ว แต่ spam bot ก็ยังเจาะตรงเข้าไปได้ พบว่ามี user หลายคนมีพฤติกรรมเช่นนี้ สิ่งที่เหมือนกันของผู้เป็นเหยื่อ spam bot คือกำหนดรหัสผ่านที่เหมือนกับรหัสผู้ใช้ ซึ่งเป็นข้อบกพร่องที่ผมปล่อยให้เกิดขึ้นมาหลายปี และไม่ได้กำชับให้ทุกฝ่ายเข้าใจ คาดว่า spam bot มุ่งเจาะเข้าจุดอ่อนใน squirrelmail และการกำหนดรหัสของผู้ใช้ที่หละหลวม จึงทำการแก้ไขปัญหาดังกล่าว
เมื่อเกิดปัญหาแล้ว ก็ตามไปดูว่า ผลของปัญหาดังกล่าวมีปฏิกิริยาลูกโซ่สู่ภายนอกหรือไม่ ด้วยการตรวจว่า smtp server ตัวใหม่ของเราติด black list อีกแล้วหรือไม่ 1)ตรวจกับ spamhaus.org พบว่ามี 7 IP ที่ติดในบริการของ cat.net.th แต่เราไม่ติดในบัญชีดำชุดนี้ 2)ตรวจกับ find-ip-address.org แล้วพบว่าเราไม่ติด 3)ตรวจกับ mxtoolbox.com ซึ่งส่ง ip ไปตรวจใน 111 เครื่องบริการ พบว่า smtp ทั้งสองเครื่องติดใน 5 เครื่องบริการคือ 3.1)sorbs.net/lookup.shtml (ขอ delist) 3.2)barracudacentral.org/rbl (remove request) 3.3)spamrats.com (Removal) 3.4)wpbl.info (Remove Record) 3.5)uceprotect.net (?)
วิธีแก้ไข ที่ดำเนินการคือ 1)หยุดการส่ง spam จากเครื่องของเรา และตรวจสอบอยู่เสมอ 2)ขอแก้ไขกับผู้ให้บริการขึ้นบัญชี black list ทีละราย ซึ่งทำไปกับ 4 รายแล้ว 3)เปลี่ยนเครื่องบริการ smtp และต้องดูแลไม่ให้เกิดขึ้นอีก
แหล่งอ้างอิง
+ http://www.blacklistalert.org
+ http://mxtoolbox.com/blacklists.aspx
+ http://www.find-ip-address.org
+ http://www.spamhaus.org/sbl/index.lasso
+ http://whatismyipaddress.com