Re: Unir dos oficinas con VPN
echo 1 /proc/sys/net/ipv4/ip_forward
Re: Unir dos oficinas con VPN
si solo vas a tener el servidor con conexion vpn debes enmascarar los paquetes de datos que vienen de los otros equipos iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE
Re: Identificar SPAMMER
Resumí todas las respuestas que me llegaron en esta respuesta: Respecto a si hay máquinas zombi, está claro que encontré equipos con spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero para reconocerlos fue por descarte: ¿qué máquinas quedaron encendidas el fin de semana?. Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows. Las máquinas con IOs y Linux hasta ahora las estoy descartando. En las estadísticas que manda el servidor a la cuenta admin, no veo que alguno de los usuarios envíe más que antes, pero sí veo que hay gente enviando que no pertenece a mi dominio. Llama mi atención un from: (cuenta de envío en blanco) y un verifibyvisa.fr. Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi atención que aparecen IPs asociadas a la cuenta de envío, pero no son cuentas mías ni las direcciones corresponden a mi segmento de red. Ese informe, me parece, se construye a partir del log del archivo maillog, por lo que no registra quién se identificó para enviar el correo, sino que toma lo registrado en from y to para construir esa estadística. Que alguien esté entrando por la interfaz web, para mi tiene sentido, porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y algo correos... pero el domingo no se envió nada. De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar bastante. Me queda por averiguar quién se identificó para enviar el correo... ¿habrá algún lugar donde quede registrado eso?. El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió: Un zombie en tu red? Un equipo envirulado... SI tienes estadísticas de envío ve quién manda más que antes en promedio y ahí ataca el problema. A la cuenta ad...@dominio.xx llegan esas estadísticas. 2011/7/18 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2,
Re: Identificar SPAMMER
from: Me huele a formulario web explotado, tienes alguno en tu sitio ?? Saludos. - Original Message - From: Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com To: Discusion de Linux en Castellano linux@listas.inf.utfsm.cl Sent: Tuesday, July 19, 2011 11:11 AM Subject: Re: Identificar SPAMMER Resumí todas las respuestas que me llegaron en esta respuesta: Respecto a si hay máquinas zombi, está claro que encontré equipos con spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero para reconocerlos fue por descarte: ¿qué máquinas quedaron encendidas el fin de semana?. Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows. Las máquinas con IOs y Linux hasta ahora las estoy descartando. En las estadísticas que manda el servidor a la cuenta admin, no veo que alguno de los usuarios envíe más que antes, pero sí veo que hay gente enviando que no pertenece a mi dominio. Llama mi atención un from: (cuenta de envío en blanco) y un verifibyvisa.fr. Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi atención que aparecen IPs asociadas a la cuenta de envío, pero no son cuentas mías ni las direcciones corresponden a mi segmento de red. Ese informe, me parece, se construye a partir del log del archivo maillog, por lo que no registra quién se identificó para enviar el correo, sino que toma lo registrado en from y to para construir esa estadística. Que alguien esté entrando por la interfaz web, para mi tiene sentido, porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y algo correos... pero el domingo no se envió nada. De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar bastante. Me queda por averiguar quién se identificó para enviar el correo... ¿habrá algún lugar donde quede registrado eso?. El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió: Un zombie en tu red? Un equipo envirulado... SI tienes estadísticas de envío ve quién manda más que antes en promedio y ahí ataca el problema. A la cuenta ad...@dominio.xx llegan esas estadísticas. 2011/7/18 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2,
Re: Identificar SPAMMER
correle a tus logs AWSTAT, el te mostrará las luz... 2011/7/19 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Resumí todas las respuestas que me llegaron en esta respuesta: Respecto a si hay máquinas zombi, está claro que encontré equipos con spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero para reconocerlos fue por descarte: ¿qué máquinas quedaron encendidas el fin de semana?. Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows. Las máquinas con IOs y Linux hasta ahora las estoy descartando. En las estadísticas que manda el servidor a la cuenta admin, no veo que alguno de los usuarios envíe más que antes, pero sí veo que hay gente enviando que no pertenece a mi dominio. Llama mi atención un from: (cuenta de envío en blanco) y un verifibyvisa.fr. Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi atención que aparecen IPs asociadas a la cuenta de envío, pero no son cuentas mías ni las direcciones corresponden a mi segmento de red. Ese informe, me parece, se construye a partir del log del archivo maillog, por lo que no registra quién se identificó para enviar el correo, sino que toma lo registrado en from y to para construir esa estadística. Que alguien esté entrando por la interfaz web, para mi tiene sentido, porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y algo correos... pero el domingo no se envió nada. De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar bastante. Me queda por averiguar quién se identificó para enviar el correo... ¿habrá algún lugar donde quede registrado eso?. El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió: Un zombie en tu red? Un equipo envirulado... SI tienes estadísticas de envío ve quién manda más que antes en promedio y ahí ataca el problema. A la cuenta ad...@dominio.xx llegan esas estadísticas. 2011/7/18 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. Salu2, -- Jorge Palma Escobar
Re: Identificar SPAMMER
On Tue, 2011-07-19 at 11:25 -0400, Victor Hernandez M. wrote: from: Me huele a formulario web explotado, tienes alguno en tu sitio ?? El remitente nulo se usa también para otros propósitos (por ejemplo, notificar un correo no entregado). Pueden ser simplemente consecuencia, pero no necesariamente la causa. - Original Message - From: Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com To: Discusion de Linux en Castellano linux@listas.inf.utfsm.cl Sent: Tuesday, July 19, 2011 11:11 AM Subject: Re: Identificar SPAMMER Resumí todas las respuestas que me llegaron en esta respuesta: Respecto a si hay máquinas zombi, está claro que encontré equipos con spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero para reconocerlos fue por descarte: ¿qué máquinas quedaron encendidas el fin de semana?. Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows. Las máquinas con IOs y Linux hasta ahora las estoy descartando. En las estadísticas que manda el servidor a la cuenta admin, no veo que alguno de los usuarios envíe más que antes, pero sí veo que hay gente enviando que no pertenece a mi dominio. Llama mi atención un from: (cuenta de envío en blanco) y un verifibyvisa.fr. Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi atención que aparecen IPs asociadas a la cuenta de envío, pero no son cuentas mías ni las direcciones corresponden a mi segmento de red. Ese informe, me parece, se construye a partir del log del archivo maillog, por lo que no registra quién se identificó para enviar el correo, sino que toma lo registrado en from y to para construir esa estadística. Que alguien esté entrando por la interfaz web, para mi tiene sentido, porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y algo correos... pero el domingo no se envió nada. De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar bastante. Me queda por averiguar quién se identificó para enviar el correo... ¿habrá algún lugar donde quede registrado eso?. El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió: Un zombie en tu red? Un equipo envirulado... SI tienes estadísticas de envío ve quién manda más que antes en promedio y ahí ataca el problema. A la cuenta ad...@dominio.xx llegan esas estadísticas. 2011/7/18 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Señores: Me he encontrado que hay correos que no son de mi dominio y que sí salen por mi servidor de correos. Me di cuenta al revisar los logs y estadísticas que indican que mandé gran cantidad de correo a una hora donde se supone no había gente. La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. La red no es grande, algo así como 100 máquinas, pero no he podido encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. No creo que sea problema de relay, porque está acotado a la máquina local y se necesita autenticarse para mandar correo. Agradeceré si me orientan en como pillar a este individuo. -- Germán Póo-Caamaño http://calcifer.org/
