On Fri, May 13, 2011 5:35 pm, Paolo Ghidini wrote:
> Ciao a tutti, ho un server Debian squeeze in dmz con installato
> postfix+amavis+antivirus+antispam che smista la posta su un altro server
> Debian dove ci sono le caselle di posta. Dalle 13 di oggi mi trovo con
> migliaia di mail con mittente e
controlla le regole di postifix prima verifica che non sia un openrealy.
se non lo e' ferma postfix e' guarda la sorgente delle mail nei log.
Verifica che la sorgente IP non sia qualcosa che hai autorizzato.
se ancora tutto a posto
dopo di che attiva con iptables il log delle connessioni
iptable
Ho fatto dei controlli e non risulta Open relays. I server che dall'interno
inviano mail non hanno traccia di quelle mail. Ora provo i controlli che mi
avete suggerito e poi vi faccio sapere. Grazie mille.
Ghido
May 14 00:22:20 external postfix/smtpd[8153]: lost connection after STARTTLS
from unknown[78.36.109.74]
May 14 00:22:20 external postfix/smtpd[8153]: disconnect from
unknown[78.36.109.74]
May 14 00:22:20 external postfix/smtpd[8296]: warning: TLS library problem:
8296:error:1408F10B:SSL routines:SS
trovo anche una connessione ogni 2 secondi sulla porta 25 del mio mail
server che arriva dall'esterno
May 14 00:31:38 external kernel: [1943680.522517] IPtables Input: IN=eth0
OUT= MAC=00:50:56:80:28:17:00:30:18:4a:08:e2:08:00 SRC=217.133.47.237
DST=192.168.3.1 LEN=222 TOS=0x00 PREC=0x00 TTL=115 I
On Saturday 14 May 2011 00:32:52 Paolo Ghidini wrote:
> trovo anche una connessione ogni 2 secondi sulla porta 25 del mio mail
> server che arriva dall'esterno
>
> May 14 00:31:38 external kernel: [1943680.522517] IPtables Input: IN=eth0
> OUT= MAC=00:50:56:80:28:17:00:30:18:4a:08:e2:08:00 SRC=217
Il giorno 14/mag/2011, alle ore 01.15, Michele Orsenigo ha scritto:
> Mah, l'indirizzo 217.133.47.237 è di tiscali.
> Io intanto lo bloccherei su iptables e continuerei con calma l'indagine.
concordo in pieno. prima lo si blocca e poi si ragiona.
per curiosita', ho iniziato con l'analisi dell
Grazie mille ragazzi! Mi sa che mi attende un weekend di iptables e mail ai
vari abuse! Ciao
Il giorno 14/mag/2011 10:19, "ma...@majaglug.net" ha
scritto:
>
> Il giorno 14/mag/2011, alle ore 01.15, Michele Orsenigo ha scritto:
>
>> Mah, l'indirizzo 217.133.47.237 è di tiscali.
>> Io intanto lo blo
il ti raggiungono ovunque con BlackBerry® from Vodafone!
-Original Message-
From: Paolo Ghidini
Date: Sat, 14 May 2011 00:32:52
To: DebianItalianList
Subject: Re: Server Debian compromesso
trovo anche una connessione ogni 2 secondi sulla porta 25 del mio mail
server che arriva dall'es
Grazie a tutti,
gli indirizzi ip da cui arrivano sono molteplici e li ho bloccati con ip
tables , le mail di spam non erano indirizzate ai miei domini ma ad altri,
tra l'altro è ancora in corso (lo vedo dal firewall) ora sono anche lontano
per poter intervenire in maniera più approfondita.
Ghido
10 matches
Mail list logo
