raggiungono ovunque con BlackBerry® from Vodafone!
-Original Message-
From: Paolo Ghidini pa...@ghido.com
Date: Sat, 14 May 2011 00:32:52
To: DebianItalianListdebian-italian@lists.debian.org
Subject: Re: Server Debian compromesso
trovo anche una connessione ogni 2 secondi sulla porta 25
Grazie a tutti,
gli indirizzi ip da cui arrivano sono molteplici e li ho bloccati con ip
tables , le mail di spam non erano indirizzate ai miei domini ma ad altri,
tra l'altro è ancora in corso (lo vedo dal firewall) ora sono anche lontano
per poter intervenire in maniera più approfondita.
Ghido
Il giorno 14/mag/2011, alle ore 01.15, Michele Orsenigo ha scritto:
Mah, l'indirizzo 217.133.47.237 è di tiscali.
Io intanto lo bloccherei su iptables e continuerei con calma l'indagine.
concordo in pieno. prima lo si blocca e poi si ragiona.
per curiosita', ho iniziato con l'analisi
Grazie mille ragazzi! Mi sa che mi attende un weekend di iptables e mail ai
vari abuse! Ciao
Il giorno 14/mag/2011 10:19, ma...@majaglug.net ma...@majaglug.net ha
scritto:
Il giorno 14/mag/2011, alle ore 01.15, Michele Orsenigo ha scritto:
Mah, l'indirizzo 217.133.47.237 è di tiscali.
Io
Ciao a tutti, ho un server Debian squeeze in dmz con installato
postfix+amavis+antivirus+antispam che smista la posta su un altro server
Debian dove ci sono le caselle di posta. Dalle 13 di oggi mi trovo con
migliaia di mail con mittente e destinatario non autorizzati che mi bloccano
il mail
On Fri, May 13, 2011 5:35 pm, Paolo Ghidini wrote:
Ciao a tutti, ho un server Debian squeeze in dmz con installato
postfix+amavis+antivirus+antispam che smista la posta su un altro server
Debian dove ci sono le caselle di posta. Dalle 13 di oggi mi trovo con
migliaia di mail con mittente e
controlla le regole di postifix prima verifica che non sia un openrealy.
se non lo e' ferma postfix e' guarda la sorgente delle mail nei log.
Verifica che la sorgente IP non sia qualcosa che hai autorizzato.
se ancora tutto a posto
dopo di che attiva con iptables il log delle connessioni
Ho fatto dei controlli e non risulta Open relays. I server che dall'interno
inviano mail non hanno traccia di quelle mail. Ora provo i controlli che mi
avete suggerito e poi vi faccio sapere. Grazie mille.
Ghido
May 14 00:22:20 external postfix/smtpd[8153]: lost connection after STARTTLS
from unknown[78.36.109.74]
May 14 00:22:20 external postfix/smtpd[8153]: disconnect from
unknown[78.36.109.74]
May 14 00:22:20 external postfix/smtpd[8296]: warning: TLS library problem:
8296:error:1408F10B:SSL
trovo anche una connessione ogni 2 secondi sulla porta 25 del mio mail
server che arriva dall'esterno
May 14 00:31:38 external kernel: [1943680.522517] IPtables Input: IN=eth0
OUT= MAC=00:50:56:80:28:17:00:30:18:4a:08:e2:08:00 SRC=217.133.47.237
DST=192.168.3.1 LEN=222 TOS=0x00 PREC=0x00 TTL=115
On Saturday 14 May 2011 00:32:52 Paolo Ghidini wrote:
trovo anche una connessione ogni 2 secondi sulla porta 25 del mio mail
server che arriva dall'esterno
May 14 00:31:38 external kernel: [1943680.522517] IPtables Input: IN=eth0
OUT= MAC=00:50:56:80:28:17:00:30:18:4a:08:e2:08:00
11 matches
Mail list logo