Re: ayuda (me atacan)
El Lunes, 29 Abril 2002, Matias [EMAIL PROTECTED] escribió: Hola: Me parece que me estan atacando (y que ya tomaron control del qmail). Instalé el netsaint para que me avise en estos casos, y los mails que me mandaba eran algunos errores (que la mayoría eran mios o de la gente con la cual estoy estudiando). Pero hace 4 horas empecé a recibir mails de 8 megas (solo texto); en estos mails sólo figuran cosas del qmail. Aunque ya pare el qmail, me fijé en los mensajes que estan en cola, y son aproximadamente 5, pertenecientes (los que me fijé) a una lista de pornografía. Yo diría que, efectivamente, alguien ha tomado el control de tu equipo para enviar SPAM. [...] * ¿Qué me aconsejan hacer en casos así? Yo opté por dar de baja todos los servicios que no uso, y dejar los que necesito (ssh y el squid -que uso para que los usuarios internos tengan acceso a internet-) Hay tres tareas que debes hacer: - Limpiar la cola de qmail y demás. En eso no te puedo ayudar. - Eliminar todo rastro de usuarios 'ilegales' de tu equipo usando: - chkrootkit (Te detecta los rootkit más habituales) - Mirando por ti mismo el fichero /etc/passwd y el cron. - Lo ideal sería reinstalar el equipo completo, pero si no puedes permitirlo al menos reinstala todos los paquetes base. - Usa log-analysis para intentar averiguar por donde se te han colado. - Cruza los dedos. - Nota: mientras estes haciendo estas operaciones desconecta todos los servicios. - Protegerte para el futuro: - Montar un firewall con iptables o ipchains (el que te corresponda por tu kernel). Yo te puedo pasar mi script de iptables, pero sólo te serviría como base para montar el tuyo, ya que mis necesidades son distintas: mi ordenador es sólo desktop, no da servicio a nadie. - Por supuesto desactivar todos los servicios desactivables. - Montar los servicios que necesites en chroot, de esta manera el daño que puede hacer un intruso estará limitado y podrás borrar y restaurar la jaula chroot con rapidez. Mucha suerte, -- Luis Arocha Data Islas Canarias, España -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ayuda (me atacan)
Si, efectivamente es eso. Pero ahora me queda una interrogante, como puede ser que se haya reconfigurado el qmail y permitir eso (aunque puede ser que se me haya pasado a mí). PD OT: Perdon a todo aquel que fue invadido por mensajes de [EMAIL PROTECTED] o de [EMAIL PROTECTED] (les aseguro que no tienen nada que ver con migo). On Tue, 30 Apr 2002 08:42:39 +0200 [EMAIL PROTECTED] wrote: Seguramente estan utilizando tu servidor de correo como remailer. Deberías configurarlo para que solo aceptase el reenvio de correo desde lás máquinas que tu decidas (seguramente las que estan en tu red). Un saludo ! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ayuda (me atacan)
On Mon, Apr 29, 2002 at 07:09:24AM -0300, Matias wrote: Hola: Me parece que me estan atacando (y que ya tomaron control del qmail). Instalé el netsaint para que me avise en estos casos, y los mails que me mandaba eran algunos errores (que la mayoría eran mios o de la gente con la cual estoy estudiando). Pero hace 4 horas empecé a recibir mails de 8 megas (solo texto); en estos mails sólo figuran cosas del qmail. Aunque ya pare el qmail, me fijé en los mensajes que estan en cola, y son aproximadamente 5, pertenecientes (los que me fijé) a una lista de pornografía. Necesitaría saber algunas cosas: * ¿Cómo hago para que qmail elimine todos los mensajes que estan en cola? (estube viendo pero no encontré como hacerlo) * ¿Qué me aconsejan hacer en casos así? Yo opté por dar de baja todos los servicios que no uso, y dejar los que necesito (ssh y el squid -que uso para que los usuarios internos tengan acceso a internet-) * Alguien conoce un manual completo de qmail (preferentemente en castellano). Estoy leyendo lo que hay en www.es.qmail.org, pero prefiero tener material de sobra para que no me vuelva a pasar nada raro como lo que me acontece ahora. Lo mejor que he visto (tampoco he mirado mucho) en castellano es Mi vida con qmail, traducido por Ivan Juanes. El PDF está en http://redes-linux.dyndns.org/manuales/Servidor_correo/mvq.pdf, la web en http://www.es.qmail.org/documentacion/usuarios/lwq/html/mvq.html Estoy perdido con cosas como estas. No sé mucho de qmail, pero por si no lo has hecho: utiliza SMTP-after-POP para evitar que te utilicen como relay por la cara. Esto requiere usar el POP3 de qmail, con lo que los correos hay que guardarlos en Maildirs, no mailboxes; pero con esto duermes un poco más tranquilo. Saludos y suerte :-) -- --==-- --==-- Miguel Ángel Vilela --==-- --==-- a.k.a miguev at fmat.ull.es, GULiC, Barrapunto IRC-Hispano GULiC - Grupo de Usuarios Linux de Canarias - http://www.gulic.org Facultad de Matemáticas, Universidad La Laguna --- www.fmat.ull.es Public GPG key at http://search.keyserver.net (search for: miguev) Linux Reg. User #184518 - Debian GNU/Linux SID - kernel 2.4.18 Linux Reg. Machines: #81674, #81677, #105478, #118020, #118022 -- Linux Driver Petition #73209 --- No ePatents Petition #80354 -- Mason's First Law of Synergism: The one day you'd sell your soul for something, souls are a glut. pgp8FzOmvLHnj.pgp Description: PGP signature