[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Javier Delgado wrote: > Hola a ver quien em hecha una manita. > > aparentemente mi servidor ha sido victima de una serie de ataques, o al > menos de abusos... > > estoy aprendiendo a leer las bitacoras y quisiera una manita para entender > los mensajes: > > 1. que es lo que resitra el log: "secure" Ahí viene quién se conecta y quien se desconecta y por dónde > > tiene entradas como esta: > > Feb 28 10:57:18 www proftpd[13829]: 208.155.68.9 > (200.36.63.117[200.36.63.117]) - USER daniel: Login successful. > Feb 28 10:57:27 www in.qpopper[13855]: connect from 148.221.195.8 > Feb 28 10:58:02 www in.qpopper[13887]: connect from 148.221.195.8 > Feb 28 10:58:08 www in.qpopper[13897]: connect from 200.56.242.88 > > 2. en messages tengo centenares de entradas como estas: > Feb 28 04:41:20 www named[398]: ns_forw: > query(99.96.216.242.208.in-addr.arpa) All possible A RR's lame > Feb 28 04:41:23 www named[398]: Lame server on '3.120.27.208.in-addr.arpa' > (in '120.27.208.in-addr.arpa'?): [205.244.200.3].53 'ns1.sprintsvc.net' > Feb 28 04:41:23 www named[398]: Lame server on '3.120.27.208.in-addr.arpa' > (in '120.27.208.in-addr.arpa'?): [206.105.201.35].53 'ns2.sprintsvc.net' > Feb 28 04:41:24 www named[398]: Lame server on '90.86.44.208.in-addr.arpa' > (in '86.44.208.in-addr.arpa'?): [152.149.80.3].53 'ns.daewoo.com' > Feb 28 04:41:24 www named[398]: Lame server on '182.212.67.65.in-addr.arpa' > (in '212.67.65.in-addr.arpa'?): [151.164.1.7].53 'ns2.swbell.net' > Feb 28 04:41:24 www named[398]: Lame server on '182.212.67.65.in-addr.arpa' > (in '212.67.65.in-addr.arpa'?): [151.164.1.1].53 'ns1.swbell.net' Estos no creo que tengan nada que ver con un ataque directo, pero, si como mas adelante mencionas, te están usando como spam relay lo que sucede es que tu SMTP trata de resolver inversamente todos los nombres de sus interlocutores a partir de su IP y muchas de esas resoluciones inversas están en servidores DNS mal configurados y ahí es cuando brincan esos recados... > > > 3. Estan usando mi servodor para SPAM, incluso ya recibi una reporte. > Active la opcion de "pop before smpte", pero desde que la active se ha > caido dos veces el servidor de correos y creo que aun no ha bloqueado el > spam... Edita tu /etc/mail/access Si no sabes cómo héchate un clavado en la documentación de http://www.sendmail.org (Supongo que tu SMTP es sendmail) > > > del log maillog puedo ver algunos de estoms emnsajes: > Feb 27 21:06:22 www sendmail[774]: XAA18371: to=<grayghst en blueskyweb com>, > delay=1+22:03:37, xdelay=00:13:09, mailer=esmtp, relay=blueskyweb.com. > [169.132.43.187], stat=Deferred: Connection timed out with blueskyweb.com. > Feb 27 21:06:27 www sendmail[774]: XAA18371: to=<grayghst en compugraph com>, > delay=1+22:03:42, xdelay=00:00:05, mailer=esmtp, relay=compugraph.com. > [64.113.194.6], stat=Deferred: Connection refused by compugraph.com. > www sendmail[774]: VAA11650: > to=<gpegg en mesoscale meteo mcgill ca>,<gpeggg en mesoscale meteo mcgill ca>, > delay=2+00:40:23, xdelay=00:13:09, mailer=esmtp, > relay=mesoscale.meteo.mcgill.ca. [132.206.43.6], stat=Deferred: Connection > timed out with mesoscale.meteo.mcgill.ca. > Feb 27 22:01:05 www sendmail[774]: VAA11650: to=<gpegg en pld net>, > delay=2+00:40:23, xdelay=00:00:00, mailer=esmtp, relay=mx.pld.net., > stat=Deferred: Connection timed out with mx.pld.net. > Feb 27 22:01:05 www sendmail[774]: VAA11650: > to=<gpegg en striker ottawa on ca>, delay=2+00:40:23, xdelay=00:00:00, > mailer=esmtp, relay=mail.striker.ottawa.on.ca., stat=Deferred: Connection > refused by mail.striker.ottawa.on.ca. > Feb 27 22:01:08 www sendmail[774]: VAA11650: to=<gpegg en web-cyat com>, > delay=2+00:40:26, xdelay=00:00:03, mailer=esmtp, relay=01.web-cyat.com. > [204.68.200.221], stat=Deferred: No route to host > Feb 27 22:01:08 www sendmail[774]: VAA11650: to=<gpegg en web-fx net>, > delay=2+00:40:26, xdelay=00:00:00, mailer=esmtp, relay=mail.web-fx.net. > [216.184.142.3], stat=Deferred: No route to host > Feb 27 22:01:14 www sendmail[774]: VAA11650: to=<gpegg en webrix net>, > delay=2+00:40:32, xdelay=00:00:06, mailer=esmtp, relay=00.webrix.net. > [204.68.200.221], stat=Deferred: No route to host > > (los reconosco porque todos empeizan con "G") > > 4. Como puedo saber que esta corriendo en el servidor ps fax o ps faxw también sirve top, depende qué quieras ver lo que está corriendo en éste momento o la lista de todos los procesos que tiene tu máquina > y cuantos redursos usa? top > > anoche me reporto que estaba usando 250 mb de memoria, Eso lo ves con free, pero también con top > enc ontr delos 64 > que usa normalmente... y me da mala espina... > > el servidos no tiene nada fuera de lo comun, apache, sendmail, webalizer, > proftp, majordomo, ssh y alguns scripts en perl... ¿Tienes actualizadas las últimas versiones de esos paquetes? > ojala me peudan hecha una mano > > Javier > > nota: > es linux slackware, en un raq3 de SUN Edita /etc/mail/aliases para detener el spam relay y luego busca en el sitio de unam-cert o en securityfocus.org algún manual que te diga cómo descubrir si tu máquina estuvo comprometida. Es probable que no, pero también es probable que si. > -- Sandino Araico Sánchez >drop table internet; OK, 135454265363565609860398636678346496 rows affected. "oh fuck" --fluxrad _______________________________________________ Ayuda mailing list Ayuda en linux org mx