subject:"Re\: ayuda \(me atacan\)"

Re: ayuda (me atacan)

2002-04-30 Por tema Luis Arocha -Data-

El Lunes, 29 Abril 2002, Matias [EMAIL PROTECTED] escribió:

Hola:
   Me parece que me estan atacando (y que ya tomaron control del qmail).
Instalé el netsaint para que me avise en estos casos, y los mails que 
me mandaba eran algunos errores (que la mayoría eran mios o de la 
gente 
con la cual estoy estudiando). Pero hace 4 horas empecé a recibir 
mails 
de 8 megas (solo texto); en estos mails sólo figuran cosas del qmail.
   Aunque ya pare el qmail, me fijé en los mensajes que estan en cola, y 
son aproximadamente 5, pertenecientes (los que me fijé) a una 
lista 
de pornografía.

Yo diría que, efectivamente, alguien ha tomado el control de tu equipo 
para
enviar SPAM.

[...]
* ¿Qué me aconsejan hacer en casos así? Yo opté por dar de baja todos 
los servicios que no uso, y dejar los que necesito (ssh y el squid 
-que 
uso para que los usuarios internos tengan acceso a internet-)

Hay tres tareas que debes hacer:
   - Limpiar la cola de qmail y demás. En eso no te puedo ayudar.
   - Eliminar todo rastro de usuarios 'ilegales' de tu equipo usando:
- chkrootkit (Te detecta los rootkit más habituales)
- Mirando por ti mismo el fichero /etc/passwd  y el cron.
- Lo ideal sería reinstalar el equipo completo, pero si no 
  puedes permitirlo al menos reinstala todos los paquetes base.
- Usa log-analysis para intentar averiguar por donde se te han
  colado.
- Cruza los dedos.
- Nota: mientras estes haciendo estas operaciones desconecta
  todos los servicios.
   - Protegerte para el futuro:
- Montar un firewall con iptables o ipchains (el que te 
  corresponda por tu kernel). Yo te puedo pasar mi script 
  de iptables, pero sólo te serviría como base para montar 
  el tuyo, ya que mis necesidades son distintas: mi ordenador 
  es sólo desktop, no da servicio a nadie.
- Por supuesto desactivar todos los servicios desactivables.
- Montar los servicios que necesites en chroot, de esta manera
  el daño que puede hacer un intruso estará limitado y podrás
  borrar y restaurar la jaula chroot con rapidez.

Mucha suerte,
--
Luis Arocha Data
Islas Canarias, España






-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ayuda (me atacan)

2002-04-30 Por tema Matias

Si, efectivamente es eso. Pero ahora me queda una interrogante, como puede ser 
que se haya reconfigurado el qmail y permitir eso (aunque puede ser que se me 
haya pasado a mí).



PD OT: Perdon a todo aquel que fue invadido por mensajes de [EMAIL PROTECTED] o 
de [EMAIL PROTECTED] (les aseguro que no tienen nada que ver con migo).

On Tue, 30 Apr 2002 08:42:39 +0200
[EMAIL PROTECTED] wrote:

 
 Seguramente estan utilizando tu servidor de correo como remailer. Deberías
 configurarlo para que solo aceptase el reenvio de correo desde lás máquinas
 que tu decidas (seguramente las que estan en tu red).
 
 Un saludo !


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ayuda (me atacan)

2002-04-29 Por tema Miguel ngel Vilela

On Mon, Apr 29, 2002 at 07:09:24AM -0300, Matias wrote:
 Hola:
 
 Me  parece que  me  estan atacando  (y que  ya  tomaron control  del
 qmail). Instalé el netsaint para que  me avise en estos casos, y los
 mails que me mandaba eran algunos  errores (que la mayoría eran mios
 o  de la  gente con  la cual  estoy estudiando).  Pero hace  4 horas
 empecé a recibir mails de 8  megas (solo texto); en estos mails sólo
 figuran cosas del qmail.
 
 Aunque ya pare el qmail, me fijé  en los mensajes que estan en cola,
 y son aproximadamente 5, pertenecientes  (los que me fijé) a una
 lista de pornografía.
 
 Necesitaría saber algunas cosas:
 
 * ¿Cómo hago para que qmail  elimine todos los mensajes que estan en
cola? (estube viendo pero no encontré como hacerlo)
 
 * ¿Qué me  aconsejan hacer  en casos  así? Yo opté  por dar  de baja
   todos los servicios que no uso, y dejar los que necesito (ssh y el
   squid  -que uso  para que  los usuarios  internos tengan  acceso a
   internet-)
 
 *  Alguien conoce  un manual  completo de qmail  (preferentemente en
   castellano). Estoy  leyendo lo  que hay en  www.es.qmail.org, pero
   prefiero tener  material de sobra  para que  no me vuelva  a pasar
   nada raro como lo que me acontece ahora.

Lo  mejor que  he visto  (tampoco he  mirado mucho)  en castellano  es
Mi  vida con  qmail,  traducido  por Ivan  Juanes.  El  PDF está  en
http://redes-linux.dyndns.org/manuales/Servidor_correo/mvq.pdf, la web
en http://www.es.qmail.org/documentacion/usuarios/lwq/html/mvq.html

 Estoy perdido con cosas como estas.

No  sé  mucho  de  qmail,  pero  por  si  no  lo  has  hecho:  utiliza
SMTP-after-POP para  evitar que  te utilicen como  relay por  la cara.
Esto requiere usar  el POP3 de qmail,  con lo que los  correos hay que
guardarlos en  Maildirs, no mailboxes;  pero con esto duermes  un poco
más tranquilo.

Saludos y suerte :-)
-- 

--==--   --==--   Miguel Ángel Vilela   --==--   --==--   

  a.k.a  miguev  at  fmat.ull.es,  GULiC,  Barrapunto   IRC-Hispano  
  GULiC - Grupo de Usuarios Linux de Canarias - http://www.gulic.org  
  Facultad de Matemáticas, Universidad La Laguna --- www.fmat.ull.es  
  Public GPG key at http://search.keyserver.net (search for: miguev)  
  Linux Reg. User #184518 - Debian GNU/Linux SID - kernel 2.4.18 
  Linux Reg. Machines:  #81674,  #81677,  #105478,  #118020, #118022 
  -- Linux Driver Petition #73209 --- No ePatents Petition #80354 --  
 
 Mason's First Law of Synergism:
The one day you'd sell your soul for something, souls are a glut. 


pgp8FzOmvLHnj.pgp
Description: PGP signature

Re: ayuda (me atacan)

Re: ayuda (me atacan)

Re: ayuda (me atacan)

3 matches

Site Navigation

Mail list logo

Footer information