El Lunes, 29 Abril 2002, Matias <[EMAIL PROTECTED]> escribió: >Hola: > Me parece que me estan atacando (y que ya tomaron control del qmail). >Instalé el netsaint para que me avise en estos casos, y los mails que >me mandaba eran algunos errores (que la mayoría eran mios o de la gente >con la cual estoy estudiando). Pero hace 4 horas empecé a recibir mails >de 8 megas (solo texto); en estos mails sólo figuran cosas del qmail. > Aunque ya pare el qmail, me fijé en los mensajes que estan en cola, y >son aproximadamente 50000, pertenecientes (los que me fijé) a una lista >de pornografía.
Yo diría que, efectivamente, alguien ha tomado el control de tu equipo para enviar SPAM. >[...] >* ¿Qué me aconsejan hacer en casos así? Yo opté por dar de baja todos >los servicios que no uso, y dejar los que necesito (ssh y el squid -que >uso para que los usuarios internos tengan acceso a internet-) Hay tres tareas que debes hacer: - Limpiar la cola de qmail y demás. En eso no te puedo ayudar. - Eliminar todo rastro de usuarios 'ilegales' de tu equipo usando: - chkrootkit (Te detecta los rootkit más habituales) - Mirando por ti mismo el fichero /etc/passwd y el cron. - Lo ideal sería reinstalar el equipo completo, pero si no puedes permitirlo al menos reinstala todos los paquetes base. - Usa log-analysis para intentar averiguar por donde se te han colado. - Cruza los dedos. - Nota: mientras estes haciendo estas operaciones desconecta todos los servicios. - Protegerte para el futuro: - Montar un firewall con iptables o ipchains (el que te corresponda por tu kernel). Yo te puedo pasar mi script de iptables, pero sólo te serviría como base para montar el tuyo, ya que mis necesidades son distintas: mi ordenador es sólo desktop, no da servicio a nadie. - Por supuesto desactivar todos los servicios desactivables. - Montar los servicios que necesites en chroot, de esta manera el daño que puede hacer un intruso estará limitado y podrás borrar y restaurar la jaula chroot con rapidez. Mucha suerte, -- Luis Arocha "Data" Islas Canarias, España -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]