问题描述
主要问题:
是否有可能在 Ubuntu(或任何其他发行版)上感染机器人/垃圾邮件软件?
细节:
我的 ISP 阻止了我的端口 25(和 465)用于到 SMTP 的传出连接(出站连接,从家庭到远程服务器),所以我现在不能从家里使用我的商业电子邮件。他们阻止我的理由是:“因为你发送垃圾邮件”,我不是,他们告诉我,如果我不发送,那么我的操作系统可能被感染了……
我可以使用完整的工具和指南列表来检查系统(Ubuntu 13.10 14.04 64 位)是否有任何渗透/恶意软件/rootkit。
附言
-
我也安装了 Windows 8.1(64 位),只是因为我也喜欢在我的家用电脑上玩游戏……但这就是我只在 Windows 上做的事……当我有时间时……
-
无线关闭,即使它打开,它也受到保护。
-
Windows 扫描没有发现任何东西,也不应该有,因为那里安装了 Windows 和游戏。
-
我可以连接到 SMTP 的其他端口,但我们的服务器使用 25 并且无法更改
-
我还测试了从 windoze 连接到端口 25(使用雷鸟)
-
我在 ubuntu 上使用 Thunderbird 作为电子邮件客户端,并测试了其他一些只是为了验证它不是 Thunderbird 的错误配置。
-
Telneting 还输出连接超时…
编辑:我的 ISP 仍然拒绝解除对我的阻止…也许我必须在服务器上打开 587,因为目前没有被阻止(我仍然可以使用 Gmail)
编辑2:
我想今天我从我的 ISP 的支持中联系了另一项技术,并告诉我他们没有任何障碍……我很生气!!!我不知道以前的技术在做什么……也许他是新来的,正在阅读剧本……
所以我通过手机的网络共享测试了另一个 ISP,我成功地设法通过端口 25 发送电子邮件。基本上我没有改变任何东西,只有 ISP。他们在逗我吗?也许 tech-support 不知道如何解释他们在屏幕上为我的帐户查看的内容,还是其他原因?
我采取的另一个步骤是将我的路由器完全重置为默认设置并获得另一个动态 IP。仍然没有连接到端口 25。
我打算从某个朋友那里得到一个用过的路由器或用其他路由器测试的东西,以确保问题出在我的 ISP 上。
编辑 3:自从我上次更新这个问题以来已经有一段时间了。我搬回了我的老房子(位于该国的不同地区),那里有相同的互联网提供商。同一家公司!!我的设置按预期工作。我可以使用端口 25 很好地发送电子邮件。我敢打赌,问题出在 ISP 分发给新客户的那个讨厌的中兴路由器上。
最佳方法
甚至有可能吗?
为什么不会呢? Ubuntu 是一个非常灵活的系统,它与大多数其他操作系统存在许多问题:
-
Ubuntu中的软件可以被利用
-
您不需要 root 来运行垃圾邮件守护程序。
-
人们可以破解弱认证
-
Ubuntu 用户可以被说服安装/运行任何东西
-
一旦进入,黑客就可以上传/remote-download多个软件发送垃圾邮件
让我们对这里的安全性保持现实。 cross-platform Flash 漏洞利用可以很容易地转化为投放程序加载和安装垃圾邮件守护程序,该守护程序在登录时自行运行。它不需要root。
Double-check ISP 的故事
“但我的 ISP 不会骗我!”从来没有人说。许多家庭 ISP 习惯性地阻止端口 25,而其他人则强迫您使用他们的 SMTP 服务器(这是他们允许的唯一传出 p25 连接)。
作为主持人,我可以看到您的 IP,并且我已经检查了您的家庭 ISP。如果你用谷歌搜索他们的名字和“端口 25”或 “smtp”,你会看到很多其他人处于类似的情况。他们确实有一个中央 SMTP 服务器。
我知道您说这是一个新问题,但请仔细检查它不是您的 ISP(或者在您的 ISP 上需要正确的设置)。最后的解决方法应该仍然适合您。
发现问题
虽然有可能,但我仍然不确定它是最有可能的目标。如果你和我一样,你被互联网连接的设备包围着,你需要看看它们。
我首先会要求 ISP 提供一些证据。最低限度的时间戳,但很高兴看到他们正在使用什么来确保它不是 auto-flag 出错。
-
可能是有人标记了 ISP 滥用部门的工作电子邮件。
-
您需要知道当时使用的是什么操作系统。 Ubuntu 和 Windows 都保留身份验证日志,因此请将它们与他们可以发送给您的任何证据进行比较。
-
使用以下内容记录传出端口 25 活动:
iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
老实说,如果您已经被阻止,我不确定这是否有效,但值得一试。各种 Windows 防火墙将为您提供各种日志记录替代方案。
-
请注意,连接上的任何设备都可以发送电子邮件,而不仅仅是您的计算机。电话、wifi-enabled 烤面包机、顽皮的邻居等。查找发送此邮件的任何内容可能需要网络级数据包拦截和日志记录。这一切都是可能的,但这是一种痛苦。
-
一旦您用尽了更多可能的途径,请选择 Linux antivirus software 。我个人不能代表他们中的任何一个或他们的检测率。
立即绕过街区
如果您需要继续,继续发送电子邮件的最简单方法是通过某种混淆或加密的连接。如果您可以访问 SSH 服务器(例如在工作中),这通常是最好的方法。
ssh -D9100 user@host
然后只需更改您的电子邮件客户端以使用 SOCKS 代理地址 localhost
,端口 9100
。您的 ISP 将无法对此进行干扰,如果发送垃圾邮件的任何内容都能猜到 SOCKS 配置,我会感到非常惊讶。
在这种情况下最有可能的是什么……?
检查是否可以通过 ISP 的 SMTP 服务器发送电子邮件。我查过,你的有一个。他们可能会强迫所有用户使用它,因为这很常见。技术支持人员可能只是感到困惑。
请另一个用户(使用另一个帐户,在另一条电话线上)尝试连接到您公司的 SMTP。这可以通过 telnet example.com 25
快速完成。
-
如果他们无法连接,请假设这是 ISP-wide — 不仅仅是您的帐户 — 所以这可能不是安全问题……这只是您需要使用或解决的问题。
-
如果他们可以连接,你就回到了第一站。有一些东西从您的网络发送电子邮件,触发了您的 ISP 阻止您。病毒扫描、流量监控和偏执狂是您最好的朋友。
次佳方法
在 Ubuntu 中肯定有可能被感染并成为僵尸网络的一部分。但这也真的不太可能。
您应该可以向您的 ISP 索取他们的记录。他们会帮助您找到问题。从这里很难诊断它,但是您的无线设备很有可能成为罪魁祸首。请检查您是否使用 WPA2 以确保安全并且 WPS 已禁用。
在您解决问题并停止发送垃圾邮件一段时间后,您可能可以说服您的 ISP 解除对您的端口的阻止。
第三种方法
阻止传出端口 25 是常见的做法,因为由于对垃圾邮件的担忧,因此不鼓励原始提交电子邮件。它仍然在邮件服务器之间使用。
用于提交(原始)电子邮件的正确(通常不会被阻止)端口是端口 587,即 so-called 提交端口。邮件提供商通常支持它,系统操作符通常不会阻止它。
第四种方法
许多 ISP 会阻止其所有消费者帐户的 25 和 80 端口。我使用包含电子邮件服务的网络托管服务。他们在非标准端口上为我提供了一个用于外发电子邮件的 smtp 服务器。它适用于任何地方。您很可能可以访问类似的内容。想想你已经拥有哪些服务,并调查它们。