在CBL和Spamhaus ZEN上将IP列入黑名单

我强烈推荐再次通过CBL和Spamhuas网站，因为他们拥有所有需要的信息，从故障排除和保护服务器开始。 那里的信息可以帮助你了解黑名单过程是如何工作的，为什么被列出来，并且还build议保持服务器的安全以避免出现黑名单 。

我只想引用CBL的一些重要部分，其余的可以自己检查一下。 关键是， 由于你一次又一次地上市，你的服务器很可能是妥协的，它与你的后缀没有关系。 现在您需要调查并找出可能的原因 。 它可能是一个rootkit或一个特洛伊木马或spambot或只是另一个恶意脚本。 您需要对系统进行完整的扫描以查找可能的问题。 一旦你find真正的原因，那么你可以解决这个问题，并采取必要的步骤，以避免再次发生。

这是来自CBL：

什么是CBL ？

CBL从非常大的邮件服务器（SMTP）安装中获取源数据。 其中一些是纯粹的垃圾邮件服务器，有些则不是。

CBL只列出具有各种开放代理（HTTP，socks，AnalogX，Wingate，Bagle回拨代理等）特有特性的IP和专用的垃圾邮件BOT（如Cutwail，Rustock，Lethic，Kelihos等）被滥用发送垃圾邮件，自己直接发送邮件的蠕虫/病毒，或某些types的特洛伊木马或“隐形”垃圾软件，字典邮件收割机等。

我正在运行Linux（FreeBSD，OpenBSD，UNIX …）并且不能感染 病毒！

尽pipe类似UNIX的操作系统几乎不会被Windows病毒感染，但类似UNIX的系统容易受到类似病毒的干扰。 例如：

• Windows仿真软件（例如：VMWARE或Wine）与本地Windows一样易受感染。 事实上，Windows的模拟器实例可能更有可能被感染，因为它在另一个O / S下运行的事实可能会导致错误的安全感，并且仿真器实例不太可能受到全面防护 – 病毒套件。
• 打开代理（例如：不安全的Squidconfiguration）导致开放代理垃圾邮件。
• Web服务器漏洞或妥协。 例如，DarkMailer / DirectMailer木马是通过FTP（使用被盗用用户的用户名/密码）注入到Web服务器上，然后用来发送大量的垃圾邮件。 几乎所有的networking服务器都允许从互联网上传内容。
• 应用程序漏洞：许多应用程序都有安全漏洞，尤其是那些与Web服务器上的PHP相关的漏洞。 例如：旧版本的Wordpress，PHPNuke，Mamba等。其中一些漏洞是指一个恶意软件可以在你的机器上安装一个完整的代理/特洛伊垃圾邮件引擎并远程控制它。 通过这个，他们可以设置垃圾邮件引擎，开放代理，恶意软件下载和垃圾邮件redirect器。 注意创build奇怪的目录，尤其是那些以“。”开头的目录。 in / tmp。 通过在/ tmp中执行“ls -la”来检查，并查找以“。”开头的目录名称。 （除“。”和“..”之外）。

用于故障排除和保护

• 所有面向networking的应用程序或应用程序基础结构（Wordpress，Joomla，Cpanel等等）都保持完整的修补和最新状态是非常重要的 。 此外，用户名/密码和其他凭据login到这样的系统应受到高度 保护 ，需要强密码，并尽可能频繁地改变实际/可行。

• 这些站点应该考虑对web，ftp和其他子系统的持续监视。

• Rootkit是恶意实体在您的机器上安装了软件并将其埋入的方式，以致正常的系统实用程序无法find它。 在某些情况下，他们会用黑客版本replace正常的系统工具，而不会显示他们的踪迹。

• 检查你是否有良好的远程login密码（例如： telnet ， FTP ， SSH ），检查你的日志大量的失败/ SSH / Telnetlogin尝试。

• 考虑运行诸如Tripwire或rkhunter的“系统修改”检测器。 Tripwire旨在检测和报告对重要系统程序的修改。 Rkhunter做Tripwire的工作，但寻找特定的rootkit，系统软件的不安全版本等等。 并非所有的病毒都是Windows的二进制文件 某些病毒/蠕虫是使用非二进制编程技术（如macros病毒，Java，PHP或Perl）的应用程序级文件。 这些可以是真正具有传染性的跨平台。

更多关于CBL中的邮件服务器 ：CBL中的邮件服务器

从垃圾邮件：

什么是“代理劫持”？ 我需要了解哪些代理？

什么是“蜜jar”或“蜜jar”？ 什么是“代理劫持源”或“C＆C”？

我来晚了，但是：

1. 你已经不在Spamhaus名单上了。
2. CBL删除了你，但是解释说：

IP地址23.239.30.81未在CBL中列出。

这是之前列出，但在2015年12月7日18:46（1天，5小时，1分钟前）被删除在删除时，这是这个清单的解释：

这个IP被kelihos spambot感染（或感染计算机的NAT）。 换句话说，它参与了一个僵尸networking。

如果你只是删除列表，而不确保感染被删除（或NAT保护），它可能会再次重新。

当这发生在我们身上时，这是因为一个客户把一个受感染的笔记本电脑带到我们的networking。 访客networking与我们的主要networking隔离，但仍然通过与我们的常规stream量（包括我们的邮件服务器）相同的IP进行NAT。

它看起来像你使用共享主机。 如果您共享一个IP，则其他主机中的其中一个实际上可能是被感染的主机。 如果是这样的话，这可能是托pipe支持的一个例子。 但好消息是，你不在任何一个名单上。

如果你在CBL上，这可能不是你的Postfix的问题。 CBL不列出开放的中继MTA，而是列出“垃圾邮件代理”的服务器。 后者通常来自Web脚本或其他程序，它们利用一些安全漏洞进行上传。

由于这是一个LAMP堆栈，我将从检查是否没有PHP后门脚本开始。 检查您的数据目录是否可由PHP（或其他脚本引擎，如果有的话）包含任何脚本文件。 通常情况下，只有您的PHP Web应用程序选定的目录应该可以由root用户写入，确保它是这样configuration的。 在Web服务器级别上，数据目录只能提供具有安全扩展名的文件（图像，文档等， 从来没有任何脚本）。 刷新（或者，如果可能的话，升级）您的Web应用程序脚本文件。

像25 / TCP一样，保证端口465 / TCP也不会受到影响。

@ Katherine-vilyard向您提供了非常具体的信息（来自CBL），说明为什么您的服务器被识别为发送垃圾邮件：由于感染了kelihos spambot，被识别为发送垃圾邮件。

你说你有防火墙传出端口25，所以只有后缀可以使用它。 我们不能检查是否正确，除非你给我们输出sudo iptables -L -v 。 也许你在那里犯了一个错误，或者邮件实际上是通过postfix传递的。 也许有一个垃圾邮件机器人在您的服务器上有足够的权限来绕过这个。 例如通过运行作为后缀。 也许你正在传播垃圾邮件，而不是作为来源。 这听起来像你知道转发垃圾邮件的问题，并在寻找。

这听起来像你可能有限的目的地主机连接通过端口25？ 如果可能，请这样做。

如果邮件正在通过postfix，使用您的常用configuration，它将被logging。 你有一个非常具体的时间戳来看（从CBL）。 您应该着手查找该电子邮件，或者至less从您的邮件日志中获取有关它的所有信息。 关于HELO 127.0.0.1的一点应该是一个重要的线索 – 你的后缀服务器通常会这样做吗？ 如果没有，邮件可能不会通过你的postfix服务器。 我猜是这样。

你不应该认为你的Postfix服务器logging了外发邮件就够了。 如何捕获在端口25上的所有stream量tcpdump -i any -w dumpfile port 25 ，然后通过？ 仔细查看一下CBL确定的时间戳会很有用。 寻找邮件连接到意想不到的目的地。 将连接的时间与您在日志中看到的时间戳进行比较。 （是的，我知道我正在处理转储文件的细节，Wireshark可能是有用的，也可能是ngrep）。

据我所知，Kelihos感染Windows PC。 这意味着你的服务器是一种比源代码更强的中继。 你通过它运行一个VPN？ 你用它来传递你自己的传出邮件吗？ 你确定它不能用作其他主机的中继吗？