Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 5334 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

My firewall is spamming! What to do?

Scanweb
I got a mail from MAPS saying that my IP is open for spamming. I don't know where to look.

They've done an open proxy test to my firewall on port 1080. I don't know how they can mail through there but they say they can! Is there any consequence to closing this port on my firewall? I'm totally blank on this one! Can it be a Server or client from the inside. Every mailserver is relaying through this server. But how can I trace it back to the server if this is so?
Please help; it's urgent! Thanks!
/Rasmus


I found out that my socks proxy is set to allow any! Should this be restricted? I've searched my log files for the sender address with no result! Getting frustrated!  [:S] 
Can it be a virus and one of my clients are mailing through our mailserver and therefore it looks like it came from the outside? Maybe...and that is why they checked the firewall because it looked like it were coming from there and then they found the 1080 (socks) open?


This thread was automatically locked due to age.
Parents
  • 0
    Sounds like you're so rattled you're not thinking it through clearly.

    Start by shutting everything down; temporarily disable your rules, shut off the socks proxy (at least set it for access to the internal network; but what if somebody is doing it from a Trojan on the inside? I say disallow all and we reenable things gradually). Add a rule that does a Log Drop for SMTP (Internal to Any). See what might be doing it by then going through the logs.

    What are your rules??

    We had this problem a month ago with somebody else and it turned out to be Spam virus on an internal machine.

    How is your SMTP proxy configured?
      
  • 0 in reply to SecApp
    You're absolutely right. I should be sleeping by now...until I saw this mail from mail abuse.org.

    My problem is: I can't just shut anything down. We have a lot of systems running that have to be online.

    I've got a lot of rules. Which ones are you interested in? I'm not very good at this. Just started in this job and don't know much about the firewall yet.

    Proxy Setup:
    I have some routes for the domains I'm hosting.
    I have allowed networks: my private range
    TLS transaction encryption: ON
    8 Trusted domains
    Anti-Spam: On
    Sender Address verification: OFF (should it be on maybe?)

    Sorry if I don't give you the right information. I'm starting to panic...  [:$]

    /Rasmus  
  • 0 in reply to Scanweb
    • (temporarily) Disable all networks for the socks proxy
    • Add a rule at the top of your rules: Internal SMTP Any Log Drop (I don't think that affects the SMTP proxy, since it is 'outside' the firewall on both interfaces; we'll know soon enough!)
    • Look in the Logs for SMTP Drop activity
    [/list]
      
  • 0 in reply to SecApp
    I have to know what functionality is prohibited when I do this. If I can't get through to my firewall afterwards or the webservers behind it can't be seen from the internet I'm in big trouble. If it's only mail it's ok! Not that I don't trust you but are you a 100% sure of what you are doing. Hate to sound this way; I realy appreciates your help.  [:)]  
  • 0 in reply to Scanweb
    My last instructions might affect SMTP proxy traffic (I doubt it), and it will disable SOCKS proxy temporarily; I doubt you are using socks for anything mission critical, right??
      
  • 0 in reply to SecApp
    I'm really sorry I'm such a dumb ass.

    We run a lot of web applications with interfaces to different systems on different ports. I know socks is used for ftp which we also have got. Customers applications are downloading from these servers for their accounting systems. Will it affect this traffic? It's no problem to turn off the SMTP Proxy for a while og set up rules for this.
    I've looked in the SMTP Proxy Log to see if I could find the address the mail should have been sent from but with no luck. I hope you aren't getting tired of me here.  
  • 0 in reply to Scanweb
    I don't know what your in-house apps do. The socks proxy requires a socks client; do your web apps use a socks client? You will have to ask somebody there.

    Why not go ahead and add the SMTP rule for now and see if we get Drops in the log?
    Remember: at the top...
  • 0 in reply to SecApp
    I'll try that.

    I don't hope you know what our web apps are using. If you do you're great at this! ;o)

    I know for example that every webserver inhouse has ASPSock installed. But if it is used to sites on the other side of the firewall I don't know. I doubt it.

    We'll see what happens with the SMTP drop.  
  • 0 in reply to Scanweb
    What if I say Log Allow to the rule? Can't we use that one? It's late here; I don't think anyone is there.  
Reply Children
  • 0 in reply to Scanweb
    You can, but just go for the Log Drop; all your outbound SMTP should be going through the SMTP proxy.

    It is conceivable that whoever set up that topology there allowed inbound socks, but that is not what you want from a security standpoint, unless you are using user authentication (that can be checked on the socks proxy's settings...)
       
  • 0 in reply to SecApp
    I have tried both Log Drop and Drop for any-SMTP-any as rule number one. Nothing appears in the live log. I tried to send a mail from a mailserver behind the firewall through webmail. This is working fine!!?? The packets aren't dropped.

    Do you know a tool that checks ip's for this vulnerability with the open proxy? I have 7 SMTP servers that are open to the outside. Then I can check all of them. This means they are in fact going outside the SMTP Proxy which explains how I was able to send with the rule turned on!!??

    What if i try to only allow socks proxy for inbound servers? Would this be the right way to do it? I'm just not sure what is affected. Mail abuse wrote me this:
    Proxy parameters:
    Target host = x.x.x.x (my firewall ip)
    Target port = 1080
    Wed Jan 14 11:40:08 2004
    Wed Jan 14 11:40:08 2004
    x.x.x.x open

    This will solve the problem with mail abuse and get my ip removed from the list. Then I can do a scan on all machines to see if any are infecte with a virus that sends out mails.

    /Rasmus  
  • 0 in reply to Scanweb
    webmail is usually not the same as what would be done by a trojan on your LAN transmitting mail.

    You want Internal SMTP Any Log Drop, first rule; leave that in place.

    As for a tool that tests, Google Search on "Shields Up"

    As for disabling external access to the socks proxy, great! I just couldn't assure you that your apps on the Internet are not relying on it.

    Astaro Feature Suggestion: integrated testing tool that talks to a server at Astaro?
  • 0 in reply to SecApp
    When you say internal SMTP any log drop. You mean that all my internal ip's should log drop the smtp to any any server. Or what do you mean by internal?

    I'll disable external access tomorrow when I've talked with the developers. But this won't solve my problem... I think it's a virus internally. That would be the most obvious - wouldn't it?  
  • 0 in reply to Scanweb
    Internal is the network that is on the inside of the firewall; if you have more than one, make a network group and reference it in your rule.

    If the socks proxy was opening a hole, a person connects to an internal SMTP server and directs it to transmit back out the SMTP port, no virus necessary!  Hence my concern to Log Drop that SMTP port for outbound.
      
  • 0 in reply to Scanweb
    The tool only works from/to the computer I'm sitting at. I can't point out an ip on the internet to check. I can't run the browser and therefore the check in Astaro?  
  • 0 in reply to Scanweb
    I'll definately close it then. Then the customers will have to complain and we'll look at it by then.  
  • 0 in reply to Scanweb
    It will work; when you talk to the server on the Internet, it is figuring out where you are coming from (you will be 'seen' as an IP on the firewall's external interface); then it comes back at that external firewall address to figure out what ports are open.

    There are other tools on the net where you can feed a range of ips and it will tell you what's open; this you do from home. I suggest you be discriminating about who's tool you use. I would pass on ones published by an individual or company lacking a track record for integrity; otherwise THAT introduces yet another trojan! And don't blindly trust that your antivirus will ferret it out...
  • 0 in reply to SecApp
    It won't solve the spamming issue. It will remove me from the mailabuse list; yes. But then again; I want to stop relaying for anyone.

    Do you know openrelaycheck.com? It looks ok; but...hehe. I think I'll try it. It's only my machine that's on stake.  
  • 0 in reply to Scanweb
    If the machine is on the LAN, your LAN is at stake.

    I had a quick look; I don't see any resumes, nor links to articles talking them up. Maybe there's more info about them on the web as to who they are?

    Now you're getting into the guts of security work: researching.

    sans.org is a reputable security info clearinghouse; nist.gov is another (if you're not paranoid about the US, which most Europeans are right now...).

    I also track the hacker sites to know what the current capabilities are...