SoloCodigo
Sistemas Operativos => GNU/Linux => Mensaje iniciado por: RadicalEd en Miércoles 6 de Diciembre de 2006, 15:18
-
Hola chicos de SoloCodigo, estamos en un grave problema con el servidor donde tenemos alojadas las páginas Web y es que díariamente algún graciosillo está enviando + de 1000 correos.
Se preguntaran por que lo posteo aca, pues por que el servidor está en una máquina Linux RedHat, y pues yo creo que nos han hackeado y desde ahí envian SPAM, revosando el límite díario permitido y pues los clientes que tienen sus cuentas de correo con su dominio no pueden enviar y ya me tienen hasta el copete llamando todos los días.
Entonces las preguntas son; como puedo saber si me han hackeado el servidor?, cómo madre me lo quito de encima?, que logs debo revisar para eso y cómo evitar futuras incursiones?
Gracias Chao.
-
Sin saber que servidor de correo tienes, y como envias los correos, asi con la información que das:
A mi me paso algo igualito, probaste a cambiar las contraseñas del admin, y otras.
Yo opté directamente por quitar el servidor interno de correo del servidor, durante un tiempo, y usar uno externo, creo q era un chino o algo haciendo un rastreo de la ip. Valientes capullos.
Alucinas, cuando ves que el servidor esta mandando locamente sin que le des una orden, el trafico se dispara, y ves como se van llenando las colas de envio.
Tienes que ir a una carpeta que es algo asi como mail depende del servidor de mail que uses, y dentro de este mail hay una carpeta como OUTBOX o algo asi, te das cuenta porq esta llena de ficherillos que se van actualizando y renovando.
Haces un list de los ficheros pendientes y ves fisicamente los que estan pendientes. Seguro que tienes cientos, y segun se envian se renuevan. Miralo sobre todo en una hora de poco tráfico con lo que destaca más.:kicking: :lightsabre:
Creo que si puedes acceder a las colas las veras llenas, y a partir de ahi puedes saber que cuenta estan usando intencionadamente, o si le han pillado el pass, para enviar toda esta basura.
Si el logging no es bueno o no te quieres liar, puedes hacer un programita que te cheque la cola cada 5 minutos y si hay un trafico inusual te mande un mensaje al movil, o un correo electronico como prefieras.
Si no te quieres liar, me lo dices y te lo hago con el www.autoit.es (http://www.autoit.es), es bastante sencillo hacerlo en autoit.
A divertirse con el Spamm. Odio a los Spammers, :alien: ladrones de tiempo.
-
Eso de enviar correos, desde el servidor que poseen o externo?...
Prueba a tratar de conectarte al smtp desde fuera de la red del servidor, y si no te pide autorización al intentar enviar un email por telnet por ejemplo, entonces está más que claro que hay una gran falla de seguridad...
Acá (http://www.linuxparatodos.net/geeklog/staticpages/index.php?page=14-como-sendmail-corporativo) encontrarás un link sobre la configuración del sendmail en castellano claro ;) Ah, he asumido que ocupan sendmail.. Si no es el caso, avisanos y vemos que onda...
-
El servidor de correo es qmail.
El servidor es interno en el servidor.
Como hago lo de conectarme al smtp por telnet?
-
por telnet, ¿que estas diciendo?
no se si eso lo tiene habilitado, seguro te tienes que meter por http.
Sigue los pasos que te comenté y mira la carpeta que será qmail/outbox a ver q es lo que pasa. Decia por el explorador del sistema. El outbox lo puedes mirar si paras el qmail, sino vete al qmail/sent y miras los from: del mail, a ver quien es el causante.
Si quieres que se neutralize siempre la cuenta causante también se puede automatizar, a menos que el qmail tenga algún sistema para estos casos.
-
He enviado un correo por Telnet con SMTP y sale :( 'tons ahora es como hago para restringir esto?
dbase3, ni OUTBOX ni sent existen en la carpeta qmail, estos son los que hay:
alias bin boot control mailnames plugins queue users
Gracias Chao.
-
ehh, te dije que algo parecido no me se de memoria todos los progs de envio :( sorry
la que buscas es qmail/queue/outbox y qmail/queue/sent
que quieres decir con esto de 'tons?
He enviado un correo por Telnet con SMTP y sale sad.gif 'tons ahora es como hago para restringir esto?
-
que quieres decir con esto de 'tons?
Debe ser "entonces"
:hitcomp:
-
Ahh gracias,
que haces muy facil o bien das de baja a este mail, o bien le pones algún blacklist para que no use el envio.
Yo le daba de baja directamente, luego que se queje si quiere.
-
ehh, te dije que algo parecido no me se de memoria todos los progs de envio :( sorry
la que buscas es qmail/queue/outbox y qmail/queue/sent
que quieres decir con esto de 'tons?
He enviado un correo por Telnet con SMTP y sale sad.gif 'tons ahora es como hago para restringir esto?
Tengo qmail/queue/mess y dentro de esta hay varias carpetas de 0 a 21 que contiene lo que hay en cola.
'tons :D quiere decir "entonces"
Y pues lo de "He enviado un correo por Telnet......"
Es pues eso que he podido conectar por Telnet al servidor y a las páginas y lograr enviar correos via SMTP con el puerto 25, cosa que me imágino que puede ser bloqueada, osea, bloquear el acceso por Telnet al puerto 25 pero no llegar a bloquear los mensajes que se envían desde los webmail.
Sino me entiendes esta cacho ;)
-
Dbase, efectivamente puedes usar telnet para conectarte a un smtp, claro que debes especificarle el puerto de conexión, que varía de la configuración pero por lo general suele ser el puerto 25, también podria haber dicho que usara el netcat, pero no es muy común o conocido por algunos.. - además de ser adictivo :P -
..
..
Ah, así que es qmail.. no lo he manejado, pero al igual que el sendmail, debe tener algún archivo de configuración que permita denegar el envio de emails anónimos... No digo bloquear el puerto 25 debido a que entonces las aplicaciones que requieren conectarse al puerto 25 no podrían tener acceso y desconozco si forzosamente el envío se hace por este puerto desde un servidor a otro...
Hechale un vistazo a esta direcc.
http://es.tldp.org/Tutoriales/GUIA_QMAIL/html/x237.html (http://es.tldp.org/Tutoriales/GUIA_QMAIL/html/x237.html)
:hola:
-
Pero ya sabes como están enviando los correos?
No puede ser alguien que tenga una cuenta en el web mail que los produce?
es que solo van por el puerto 25 lo que están haciendo el Spam?
Ya viste si habia en queue una carpeta saturada inusualmente?
Tienes el mail del infractor/es o es que usan el qmail sin mail?
@xcx aqui viene como hacerlo: en la ayuda q enviaste
Esto normalmente está dehabilitado, pues en caso contario cualquier persona de Internet podría usar nuestro servidor para enviar correo SPAM. Sólo nuestras estaciones deberán habilitarse.
Lo del telnet es que te conectas por telnet para acceder al shell del sistema y asi en modo comando vas listando carpetas, y pruebas el qmail? o es que accedes directamente el puerto 25 y lo compruebas enviando las comunicaciones adecuadas?
-
Lo del telnet es que te conectas por telnet para acceder al shell del sistema y asi en modo comando vas listando carpetas, y pruebas el qmail? o es que accedes directamente el puerto 25 y lo compruebas enviando las comunicaciones adecuadas?
No al shell del sistema, si no al demonio del smtp, que está escuchando en el puerto 25 normalmente... Y mediante algunos comandos lo saludas - si, el smtp es educado :P -, y comienzas la transacción de enviar emails completando los datos como lo son las direcciones de correo, los subject y bueno ese tipo de cosas...
Sobre el qmail, dice que por defecto viene desactivado pero no se si algún técnico le ha metido mano al momento de configurarlo.. por eso le postee ese link que encontré para que revise su configuración y vea si lo que tiene él en la configuración de su servidor, esta correcto o no.
Esto esta relacionado a la autentificación al momento de loguearse con el smtp...
-
Pero ya sabes como están enviando los correos?
No puede ser alguien que tenga una cuenta en el web mail que los produce?
es que solo van por el puerto 25 lo que están haciendo el Spam?
Ya viste si habia en queue una carpeta saturada inusualmente?
Tienes el mail del infractor/es o es que usan el qmail sin mail?
1.) No, pues una puede ser por Telnet :unsure: creo....
2.) No, mira este uno de tantos sprerequisite@abins.com (OJALA LO TOMEN ALGUN ROBOT DE ACA PARA SPAMMEARLO)
2.) No se, Yo soy nuevo en esto de manejar servidores y pos realmente no se mucho, por no decir nada ¿Hay alguna forma de enterarse si lo hacen por otra forma?.
PD. Otra que tenemos pensado es que se hayan hecho un script que llame al módulo que envía correos desde la página.
3.) :whistling: :whistling: No entiendo.... Si he visto los logs, pero no entiendo que quieres decir con saturada. :whistling: :whistling:
4.) La respuesta 2
-
Bueno, primero que todo quiero decir que me alegra mucho ver a xcx por estos lares :D
Mandar correos por Telnet o hacer un programa con Sockets es muy facil, si quieren les digo como...
Para el problema de SMTP, pues ya te contestaron, busca como hacer que sea obligatorio estar conectado al POP/IMAP para poder mandar el correo.
Por otro lado puesde mirar el .log del servidor y ver quien es el gracioso que manda los correos (si tienes el logger puesto) y hacer un bloqueo ip con iptables (man iptables) a esa direccion.
Lo que el muy idiota quiere hacer es que el servidor se sature (como ya dicen) que es "matar" la memorio y como debe ser un servidor que usa fork... quiere llevar al limite la maquina para ver que pasa...
Has esto: mata el SMTP, POP y calquier puerto (por ahora)... trata de configurar el servidor SMTP con eso de que necesitas logear en el puerto POP/IMAP, has que tus clientes usen conexiones con OpenSSL o Kerveros 5 (encriptado) eso facilmente se hace desde un cliente POP/IMAP como Thunderbird.
En el servidor limita el numero de conexiones por cliente, que minimo sean tres (esto es para que no puedan hacer saturar el server) y pon un firewall.
Quita el entorno grafico (X11) ya que este tiene un puerto (Tipo SSH) y aunque es seguro puede ser explotado, ademas el server no lo necesita, recorta todo lo que puedas, como dije un servidor no necesita entorno grafico.
:)
-
Bueno, algo mas:
http://www.niiconsulting.com/tuaph1.html (http://www.niiconsulting.com/tuaph1.html)
http://www.faqs.org/docs/linux_network/index.html (http://www.faqs.org/docs/linux_network/index.html)
http://www.linuxtopia.org/LinuxSecurity/index.html (http://www.linuxtopia.org/LinuxSecurity/index.html)
-
jo... :lol: Gracias Su por la alegría de verme conectado :P
Y tambien por los links, qmail no lo he usado como he dicho antes.. pero ya iré luego a casa y voy a experimentar... Se te agradece :hola:
-
lo que me refería saturada es que tengas montón de ficheros en la carpeta de qeue de ese emisor, eso sucede porq hay un uso intensivo de esa cola que es lo que esta sucediendo cuando te hacen lo de spammear.
Normalmente la dirección se repite saturando con los ficheros, es decir llenandote la cola, sprerequisite@abins.com como tu dices, no esperes para darlo de baja o bloquearlo si esta desde fuera. Tendras una opción para blacklist o bloquear la ip en qmail?.
Esto suponiendo que no tengas un log, q esto mismo te saldria en el log.
Si no se resuelve el problema dando de baja al elemento ese o metiendolo en una blacklist, ahi te sugieren politicas de seguridad y firewalls mas funcionales que los metodos manuales. <_< :lol:
-
En efecto, lo mejor seria poner un filtrado ip y un firewall bin cinfigurado, asi si tratan de atacar otro puerto solo tnedrias que bloquearlo con uno o dos comando (usando el firewall)
PD: Quita puertos inseguros (si es que tienes) como FTP, Telnet, RSH....
-
En efecto, lo mejor seria poner un filtrado ip y un firewall bin cinfigurado, asi si tratan de atacar otro puerto solo tnedrias que bloquearlo con uno o dos comando (usando el firewall)
PD: Quita puertos inseguros (si es que tienes) como FTP, Telnet, RSH....
Los único que manejo son SSH y SCP, y pos los puertos que estén abiertos que me tocaría que ver cuales son, aunque no los posteo por que de pronto entre un gracioso y me jode peor.
-
En efecto, lo mejor seria poner un filtrado ip y un firewall bin cinfigurado, asi si tratan de atacar otro puerto solo tnedrias que bloquearlo con uno o dos comando (usando el firewall)
PD: Quita puertos inseguros (si es que tienes) como FTP, Telnet, RSH....
Los único que manejo son SSH y SCP, y pos los puertos que estén abiertos que me tocaría que ver cuales son, aunque no los posteo por que de pronto entre un gracioso y me jode peor.
No lo cre :P igual, ese idiota debe saber como escanear puertos...
-
empezamos con lo primero, para que carambas usas Qmail, no creo que tu trafico justifique el uso de esa cosa, te recomiendo que te regreses a Sendmail y a Dovecot para el pop e imap
de que pais eres?
luego cuantos usuarios tienes?
tengo varios servidores, algunos con redes bayesianas instalados para el uso de correo contra el SPAM, tal vez te pueda facilitar alguno dependiendo de tus necesidades en lo que buscas la solucion en tu propio server
-
primero deshabilita que puedan enviar mails usuarios no autenticados, segundo podrias
limitar el envio de mails por usuario por dia a 50 o 100... eso seria para empezar.
-
empezamos con lo primero, para que carambas usas Qmail, no creo que tu trafico justifique el uso de esa cosa, te recomiendo que te regreses a Sendmail y a Dovecot para el pop e imap
de que pais eres?
luego cuantos usuarios tienes?
tengo varios servidores, algunos con redes bayesianas instalados para el uso de correo contra el SPAM, tal vez te pueda facilitar alguno dependiendo de tus necesidades en lo que buscas la solucion en tu propio server
1.) qmail se usa por que así estaba cuando yo entre a trabajar aca, y creo que va a ser imposible cambiarlo por que aquí son muy tercos.
2.) Cuando te refieres al tráfico lo dices por la cantidad de los 1000 mensajes, osea, te puedo decir que entre los clientes y nosotros no debemos enviar más de 100 o 150 al día.
3.) Lo del Sendmail y Dovecot lo investigare, pero como te digo sera difícil.
4.) Soy orgullosamente Colombiano.
5.) Deben ser unos 30 o 40 usuarios máximo 50.
No se si lo ultimo que me propones sea factible, como te digo de nuevo aca son muy tercos y TACAÑOS.
Gracias por todo.