Buenos días a todos. Por acá quizás no tan buenos. Yo al menos me estoy
sintiendo hoy como Monk (it's a jungle out there; confusion and disorder
everywhere!).
Voy a obviar los mil y un mensajes de spam que llegan a la lista todos
los días y que como uno de los administradores (o administraidores, dirá
alguien) debo frenar y pasar a lista negra. Eso va por descontado.
Al revisar los logs de mi trabajo como todos las mañanas, tarea que me
lleva un buen rato (chequeos con tiger, tripwire, reportes de cuanta
tarea se lance por el cron, todos los avisos que me manda el Postfix por
tener activado el notify_classes, el aviso de intento de phishing que me
dió el filtro ClamAv que le tengo puesto a mi Evolution, advertencias
del spamassassin y del ClamAV- y tuve que desactivar temporalmente OSSEC
en el servidor porque ya era demasiado) me he encontrado además con que
han intentado usarnos de open relay desde una dirección reportado como
de cucert.cu, según los logs y un chequeo rápido en el DNS:
Non-authoritative answer:
226.179.55.200.in-addr.arpa name = mercurio.cucert.cu.
Véase:
Para: Postmaster <postmas...@partagas.ettpartagas.co.cu>
Asunto: Postfix SMTP server: errors from
mercurio.cucert.cu[200.55.179.226]
Fecha: Wed, 14 May 2014 18:06:22 -0400 (CDT)
Transcript of session follows.
Out: 220 partagas.ettpartagas.co.cu ESMTP Postfix (Debian/GNU)
In: EHLO nmap.scanme.org
Out: 250-partagas.ettpartagas.co.cu
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL FROM:<usert...@nmap.scanme.org>
Out: 250 2.1.0 Ok
In: RCPT TO:<r...@nmap.scanme.org>
Out: 554 5.7.1 <r...@nmap.scanme.org>: Relay access denied
In: VRFY root
Out: 252 2.0.0 root
In: EXPN root
Out: 502 5.5.2 Error: command not recognized
In: QUIT
Out: 221 2.0.0 Bye
For other details, see the local mail logfile
Tengo otro reporte de otra oleada más fuerte:
Transcript of session follows.
Out: 220 partagas.ettpartagas.co.cu ESMTP Postfix (Debian/GNU)
In: EHLO nmap.scanme.org
Out: 250-partagas.ettpartagas.co.cu
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antis...@nmap.scanme.org>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antis...@partagas.ettpartagas.co.cu>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relaytest%nmap.scanme.org@[190.6.79.98]>
Out: 554 5.7.1 <relaytest%nmap.scanme.org@[190.6.79.98]>: Relay access
denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relaytest%nmap.scanme....@partagas.ettpartagas.co.cu>
Out: 554 5.7.1 <relaytest%nmap.scanme....@partagas.ettpartagas.co.cu>:
Relay
access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<"relayt...@nmap.scanme.org">
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<"relaytest%nmap.scanme.org">
Out: 554 5.7.1 <relaytest%nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org@[190.6.79.98]>
Out: 554 5.7.1 <relayt...@nmap.scanme.org@[190.6.79.98]>: Relay access
denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<"relayt...@nmap.scanme.org"@[190.6.79.98]>
Out: 554 5.7.1 <relayt...@nmap.scanme.org@[190.6.79.98]>: Relay access
denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org@partagas.ettpartagas.co.cu>
Out: 554 5.7.1 <relayt...@nmap.scanme.org@partagas.ettpartagas.co.cu>:
Relay
access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<@[190.6.79.98]:relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<@partagas.ettpartagas.co.cu:relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<nmap.scanme.org!relaytest>
Out: 554 5.7.1 <nmap.scanme.org!relaytest>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<nmap.scanme.org!relaytest@[190.6.79.98]>
Out: 554 5.7.1 <nmap.scanme.org!relaytest@[190.6.79.98]>: Relay access
denied
In: RSET
Al parecer, el sistema está rechazando todos los ataques, pero me
preocupa que se originen en un bloque de direcciones de Cuba. No tengo
salida al mar, así que me imagino que que si la tuviera la cosa hubiera
sido más violenta.
¿A alguien más le está pasando esto?
Hugo, hermano: ayer te pasé un mensaje haciéndote una consulta cerca de
cómo guardar las trazas de iptables. Si te es posible dame una idea, que
ya ves en qué ando.
--
M.Sc. Alberto García Fumero
Usuario Linux 97 138, registrado 10/12/1998
Las autoridades sanitarias advierten:
El uso prolongado de Windows puede provocar dependencia.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
