Cutwail spam bot

[Lukáš K.]

Zdravím komunitu,

Zhruba před měsícem jsem se zabydlel v novém bytě v Austrálii, kde jsem se dohodl na tom, že budu využívat i domácí připojení k internetu. Nyní za mnou došel pan domácí, že dostal výhružný email od providera, že se děje něco špatného, tak ať to přestanu dělat - nikdy předtím tento email nedostal, proto jsem pravděpodobně viníkem já.

Jedná se o to, že někdo z naší sítě rozesílá do internetu spam. Jak jsem vyčetl, jde o spambota v síti Cutwail, který rozesílá desítky až stovky spamů denně.
Já si nejsem jist, jestli je problém na mé straně, ale rozhodně to nevylučuji, proto bych rád udělal vše pro to, aby to z mého zařízení určitě nebylo. Mohl by to se mnou někdo prokonzultovat a poradit mi?

Jako první věc, kterou jsem udělal bylo zavření portů pro emaily. Používám webové rozhraní ke své poště, proto mne to nijak neomezuje. Otázkou však je, zda tento spambot odesílá poštu přes standardní porty. Rozhodně si nepamatuji všechny porty, co by to měli být, proto jsem na internetu pohledal a zavřel toto: 22, 25, 109, 110, 143, 220, 336, 465, 993, 995, 1109 - pravděpodobně i něco zbytečně, ale zatím mne to nikde neomezuje.

Přemýšlel jsem, kde by mohl být problém a nenapadl mne žádný škodlivý software, který bych mohl mít nainstalovaný. Zdroje bych řekl, že mám bezpečné - vše něco.debian.org nebo něco.kernel.org a z binárek jsem instaloval snad jen relativně ověřený software (vmware, teamviewer..), jediný který by mohl obsahovat škodlivý kód mne napadá snad jedině skype.

Na internetu se chovám, myslím, také docela rozumně, netahám žádné torrenty, pornostránky také neproklikávám kdovíjak hluboko..
Ovšem jedno podezření bych měl. Ženská hraje nějakou farmu. Od začátku jí říkám, že je to nějaká pochybná s****a (stránka), je to na adrese bigfarm.goodgamestudios.com. Samozřejmě dostala hned zákaz, ale na internetu se mi o tom nic špatného dohledat nepodařilo.
Ze strachu, že by to mohlo být něco v prohlížeči jsem místo obvyklého chromu přesedlal na firefox.

Co mi doporučujete udělat, abych svůj PC mohl ospravedlnit a znemožnil mu v této činnosti případně pokračovat? Jaký postup mi doporučíte k nalezení škodlivého softwaru?

Zkoušel jsem komunikovat s providerem, ale jelikož nejsem autorizovaná osoba, nehodlá mi lautr nic říct. Na router se určitě nedostanu a ani bych se nerad hrabal v počítačích domácí rodiny.

V PC mám nainstalovaný Debian 7.2 wheezy

Budu rád za jakýkoli příspěvek do diskuze,
Lukáš

[Reklama]

[PANKapitanRUM]

Nedávno mi někdo radil projet pochybný server tímhle: http://www.rfxn.com/projects/linux-malware-detect/
Nicméně otočit a přehodit data bylo rychlejší, tak jsem to nezkoušel.
Kdo ví, co to dělá, můžeš to zkusit a HLAVNĚ DEJ VĚDĚT, jestli to k něčemu je a nebo jestli ti to šlohlo zbytek bitcoinů z peněženky a tvoje privátní klíče rozeslalo na všechna Čínská ministerstva 

[noname]

Jako studující laik bych začal instalací antiviru pro Linux zdarma...
http://free.avg.com/cz-cs/stahnout.prd-alf
http://wiki.ubuntu.cz/antivirus
http://www.zonerantivirus.cz/stahnout
Více rad nechám na odbornících...
 

[JardaP .]

Takovy malware se nejak musi dostat na SMTP server vaseho ISP, ktery nepochybne funguje na standardnim portu (25) a ten mate zakazany. Tak snad leda, ze by to lezlo na ten server pres SSL, pokud to server vaseho ISP umi, coz by ale asi bylo pro takovy malware netrivialni (autentikace a tak). Takze muzete zjistit, na kterem portu jim to eventuelne bezi a zakazat to take. Zakazovat POP (110), SSH (22) nema smysl a ostatni nevim, co jsou a hleda se mi nechce.

Krome toho napadeni Linuxu je pomerne nepravdepodobne. Sice to technicky mozne je, ale Linux se nikomu nevyplati, protoze na 1% na desktopech si spameri moc nenahrabou a tak Linux neni zrovna typickou cilovou skupinou. Krome toho linuxaci byvaji prilis paranoidni na to, aby instalovali malware z webu nebo mailu postupem "rozpakujte tar.gz, ./configure, make, make install" nebo alespon nastavovali u binarky execute priznak. Cili bych podeziral mistni widlaky, z nich nekteri maji malwaru cely velkcochov, az se jim stroj jen plazi, mozna i nejake Jabkare, i kdyz s mensi pravdepodobnosti. Jestli nemuzete spionovat provoz na lince z baraku, tak tezko zjistite, kdo za to muze, ale myslim, ze vy to nebudete.

Podle toho, co se pise o Cutwailu na Internetu, se jedna o widlacky malware (jako skoro vzdycky) a tak nevim, kde by se u vas vzal, pokud jste si ho neinstaloval pres Wine.

Pro srandu si muzete pustit Etherape a koukat, jestli vam tam nezuri nejaky podezrely provoz v dobe, kdy by nemel. Majitele zazalujte o deset flasek dobreho vina za psychicke stradani, ktere vam svym obvinenim zpusobil.

[Rhinox]

...jde o spambota v síti Cutwail, který rozesílá desítky až stovky spamů denně...

Tak to je tedy sakra linej spam! To bude asi tim horkem. Jen se divim, ze ISP se vzteka kvuli par mailum...

[Reklama]

[Lukáš K.]

Asi je to nějakej lenoch..
Toto napsal ISP:

...
[2013-12-07 14:11:01] [1x4.xxx.182.xxx] Trojan: Cutwail - spamtrap msgs last day: 67
[2013-12-06 11:29:36] [1x4.xxx.182.xxx] Trojan: Cutwail - spamtrap msgs last day: 23
[2013-12-05 13:41:02] [1x4.xxx.182.xxx] Trojan: Cutwail - spamtrap msgs last day: 179
[2013-12-01 16:41:00] [1x4.xxx.182.xxx] Trojan: Cutwail - spamtrap msgs last day: 812
...

Jinak já se vůbec nedivím, že se vzteká - tady jsou i jakákoli zbytečná pravidla zákon, který se neporušuje. Punku zaslíbená zem to tu není, ale jinak je tu krásně:)

Při hledání o spambotech jsem se někde dočetl, že právě dost počítačů s linuxem je taky napadeno a rozesílá to - překvapilo mne to.
Jdu zkusit ten etherapy.

Zatím děkuji za uklidňující odpovědi.
Stále budu rád za další názory a doporučení.

Zatím díky za uklidňující odpovědi

[pet]

Jeste bych si ohlidal wine, pripadne uplne odinstaloval. Widlacke wiry pod nim totiz funguji.

[Rico]

Nemate doma nezabezpecenou nebo spatne zabezpecenou wifi? Pak by to mohl byt nejaky soused.

Pokud mate rozumny domaci router, zkuste se na nej prihlasit a pustit tcpdump, abyste videl, co vse z vasi site leze a jaky to ma zdroj. A take muzete mit napadeny primo ten router .

[jivep]

Nemate doma nezabezpecenou nebo spatne zabezpecenou wifi? Pak by to mohl byt nejaky soused.

Pokud mate rozumny domaci router, zkuste se na nej prihlasit a pustit tcpdump, abyste videl, co vse z vasi site leze a jaky to ma zdroj. A take muzete mit napadeny primo ten router .

Pise ze nema pristup k zarizeni domaciho.... doporucuji precist alespon prvni post....


Ad problem, poznamka o vmware mne zastavila, nejsou tam nekde win ve virtualu ? podle poctu spamu to vypada, ze to je pousteno se stroje, ktery neni zase casto online.

i ve wine to chce trochu vic, nez jen nekde spatne klinout.

for Jarda.P - staci klient, ktery ma tu auth predvyplnenou , takze port 465 take bloknout a je klid.

[noname]

Jinak tady je nějaké info, jak zjistit, jestli je Cutwail v systému, který využíváte. Ze zřejmých důvodů jsem jej nezkoušel, takže nemůžu potvrdit účinnost, ale za pokus nic nedáte...
http://wiki.linuxquestions.org/wiki/Detect_if_your_mailserver_is_used_as_a_spambot

[Lukáš K.]

Díky za rady všem.

Ve virtuálu mi obvykle nic neběží, tam problém nebude.
Domácí síť je zabezpečena wpa 2, ale jak jsem narazil na ta pravidla - tady by se nikdo nepokusil lousknout heslo ani k nepřístupným kanálům v televizi, sousedé to nebudou.

Nevím, jak moc je účinný clam antivirus, ale zkusil jsem jím projet PC a vše bez problémů.

Poradím doma, ať si zaktualizují ávégéčka a budu čekat na další výzvu od ISP.

Téma bych rád nechal otevřené, pokud přijde někdo s dalším návrhem, budu rád.
Když já zjistím nové skutečnosti, určitě svůj příspěvek také pošlu.

Díky,
Lukáš

[rcz]

Osobně bych vyzkoušel napojit na cestu "tvoje koncové zařízení" -> "provider" komp se dvěma sítovkama, "přemostit" a wiresharkem chytat traffic, zda a na jakých portech něco teče.

[JardaP .]

Nevím, jak moc je účinný clam antivirus, ale zkusil jsem jím projet PC a vše bez problémů.

Moc ne. Snad leda, ze byste do toho doplnil alternativni zdroje definici.

Poradím doma, ať si zaktualizují ávégéčka a budu čekat na další výzvu od ISP.

Pokud pouzivaji AVG, tak jestli to je stale jeste tak tragicky strasny antivirus, jak pred cca 10 lety, kdy jsem ho zkousel, takl bych doporucil prechod na Avast a nasledne spustit boot time scan.

[ET]

* zkus projet PC nejakou live verzi - napr. AVG rescue CD od AVG http://www.avg.com/eu-en/download.prd-arl popr konkurenci
* nastav si logovani na firewallu (na PC nebo hranicnim rouetru) na odchozi port 25 a uvidis jestli to jde z tveho PC/site