Bienvenido(a) a Alcance Libre 10/09/2025, 00:25

Alcance Libre Foros
 Índice del foro > Todo acerca de Linux > Redes y Servidores New Topic Post Reply
 Otra de Spammers
Tópico anterior Tópico siguiente
   
Danielynx
 13/07/09 12:16 (Leído 3,309 veces)  

Miembro regular

Estado: desconectado
Forum User

Identificado: 06/03/07
Mensajes: 72
Buen Día.

Hoy me topo con que:


> ----- The following addresses had permanent fatal errors -----
> <ttgdv@hotmail.com>
> (reason: 550 OU-001 Mail rejected by Windows Live Hotmail for policy
> reasons. Reasons for rejection may be re...l/network admins, please visit
> http://postmaster.live.com for email delivery information and support)


Al hacer una revisión aparezco en:

IP Address xxx.xxx.xxx.xxx is currently listed in the CBL.

It was detected at 2009-07-10 20:00 GMT (+/- 30 minutes), approximately 2 days, 18 hours, 30 minutes ago.


Al hacer una revisión me topo con este tipo de entradas en el log:
PHP Formatted Code


Jul 10 17:48:35 mail spamd[12241]: spamd: connection from localhost.localdomain [127.0.0.1] at port 42972
Jul 10 17:48:35 mail spamd[12241]: spamd: using default config for sa-milt: /var/lib/spamassassin/user_prefs
Jul 10 17:48:35 mail spamd[12241]: spamd: processing message <1144.189.242.80.249.1247264558.squirrel@www.XXXX.com.mx> for sa-milt:102
Jul 10 17:48:36 mail spamd[12241]: spamd: clean message (-4.0/4.5) for sa-milt:102 in 0.9 seconds, 34223 bytes.
Jul 10 17:48:36 mail spamd[12241]: spamd: result: . -4 - ALL_TRUSTED,AWL,BAYES_00 scantime=0.9,size=34223,user=sa-milt,uid=102,required_score=4.5,rhost=localhost.localdomain,raddr=127.0.0.1,rport=42972,mid=<1144.189.242.80.249.1247264558.squirrel@www.XXXX.com.mx>,bayes=0.000000,autolearn=ham
Jul 10 17:48:36 mail spamd[4171]: prefork: child states: II
Jul 10 17:48:36 mail spamd[12241]: spamd: connection from localhost.localdomain [127.0.0.1] at port 42973
Jul 10 17:48:36 mail spamd[12241]: spamd: using default config for adrianaramirez: /var/lib/spamassassin/user_prefs
Jul 10 17:48:37 mail spamd[12241]: spamd: connection from localhost.localdomain [127.0.0.1] at port 42974
Jul 10 17:48:37 mail spamd[12241]: spamd: using default config for eduardorodriguez: /var/lib/spamassassin/user_prefs
Jul 10 17:48:37 mail spamd[12241]: spamd: processing message <1144.189.242.80.249.1247264558.squirrel@www.XXXXX.com.mx> for eduardorodriguez:102
Jul 10 17:48:37 mail spamd[12241]: spamd: clean message (-4.0/4.5) for eduardorodriguez:102 in 0.3 seconds, 33937 bytes.
Jul 10 17:48:37 mail spamd[12241]: spamd: result: . -4 - ALL_TRUSTED,AWL,BAYES_00 scantime=0.3,size=33937,user=eduardorodriguez,uid=102,required_score=4.5,rhost=localhost.localdomain,raddr=127.0.0.1,rport=42974,mid=<1144.189.242.80.249.1247264558.squirrel@www.XXXX.com.mx>,bayes=0.000000,autolearn=unavailable
Jul 10 17:48:37 mail spamd[4171]: prefork: child states: II
 


Como es que se conectan en ese rango de puertos si solo tengo estos puertos abiertos:
PHP Formatted Code

PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
110/tcp   open  pop3
111/tcp   open  rpcbind
143/tcp   open  imap
465/tcp   open  smtps
587/tcp   open  submission
697/tcp   open  unknown
993/tcp   open  imaps
995/tcp   open  pop3s
10000/tcp open  snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 0.114 seconds
 

Alguno de ustedes me puede indicar como es que funcionan este tipo de ataques y cual es la mejor manera de evitarlos y solucionarlos.


Gracias por su apoyo
 
Profile Email
 Quote
Danielynx
 14/07/09 09:03  

Miembro regular

Estado: desconectado
Forum User

Identificado: 06/03/07
Mensajes: 72
Aquí lo que creo que fue el ataque:

PHP Formatted Code

Jul 12 08:32:38 mail dovecot: pop3-login: Disconnected: user=<telnetd>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
Jul 12 08:32:38 mail dovecot: pop3-login: Disconnected: user=<jeff>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
Jul 12 08:32:40 mail dovecot: pop3-login: Disconnected: user=<frank>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
Jul 12 08:32:40 mail dovecot: pop3-login: Disconnected: user=<eleve>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
Jul 12 08:32:40 mail dovecot: pop3-login: Disconnected: user=<list>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
Jul 12 08:32:40 mail dovecot: pop3-login: Disconnected: user=<proxy>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
Jul 12 08:32:40 mail dovecot: pop3-login: Disconnected: user=<sys>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
Jul 12 08:32:40 mail dovecot: pop3-login: Disconnected: user=<zzz>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
Jul 12 08:32:40 mail dovecot: pop3-login: Disconnected: user=<irc>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
Jul 12 08:32:42 mail dovecot: pop3-login: Disconnected: user=<snort>, method=PLAIN, rip=::ffff:69.94.29.176, lip=::ffff:10.0.0.4
 


Utilizo webmail como cliente de correo web y lo mas probable es que por ahi se conectaron, al tener contraseñas de este tipo:

PHP Formatted Code

method=PLAIN
 


Pregunta??? webmail soporta contraseñas encriptadas o cual es el mejor mecanismo de seguridad para ese cliente???.

Segui el manual del sitio tal cual al utilizar
PHP Formatted Code
saslpassword2 usuario
y cambie el parametro
PHP Formatted Code
define(`confAUTH_OPTIONS',`A p')dnl

pero sigo teniendo accesos de mis usuarios con el method=PLAIN con outlook express, como habilito y con que cliente el soporte para contraseña encriptada.



Gracias por su apoyo.
 
Profile Email
 Quote
r0man
 14/07/09 10:39  

Participa poco

Estado: desconectado
Forum User

Identificado: 06/12/08
Mensajes: 31
Saludos, no soy un experto en materia de correos.

Pero si eh configurado evolution de manera tal que todo el correo y proceso de autenticacion es cifrado en mi mediante SSL (Secure Socket Layer). No se si es posible que OutLook permita cifrado, pero en un caso extremo podrias migrar a evolution o thunderbird!.
 
Profile Email
 Quote
Danielynx
 15/07/09 12:21  

Miembro regular

Estado: desconectado
Forum User

Identificado: 06/03/07
Mensajes: 72
Gracias por tu apoyo, estoy siguiendo el manual para implementar sendmail + dovecot con soporte TLS y SSl pero no puedo enviar correo, tengo esto en el log
PHP Formatted Code

did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
 

si cambio el parametro DAEMON_OPTIONS(`Port=smtp, Name=MTA'Winkdnl por este otro DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA'Winkdnl como indican los manuelaes no logro hacer que envie correos en ambos casos.

Alguna sugerencia.

Gracias.
 
Profile Email
 Quote
r0man
 16/07/09 10:56  

Participa poco

Estado: desconectado
Forum User

Identificado: 06/12/08
Mensajes: 31
Saludos,

Investigue un poco al respecto (no soy experto en el tema) y me tope con esto:

http://www.linuxquestions.org/questions/linux-software-2/sendmail-did-not-issue-mailexpnvrfyetrn-during-connection-to-mta-397347/

Al parecer no es nada complicado mas bien es un problema con el MUA (Mail User Agent)
OE, Thunderbird, etc..

Verifica tu configuracion del cliente de correo, posiblemente este hay.
 
Profile Email
 Quote
Danielynx
 17/07/09 11:09  

Miembro regular

Estado: desconectado
Forum User

Identificado: 06/03/07
Mensajes: 72
Gracias por el apoyo.

El problema fue utilizar otras fuentes para instalar clamav y MailScanner lo que ocasionaron mil y un fallos al momento de configurar.

Solucion: "otra nueva instalación" para el server y la aplicacion de un firewall restrictivo con shorewall.

Gracias Joel y gracias a todos por su apoyo.
 
Profile Email
 Quote
Contenido generado en: 0.34 segundos New Topic Post Reply
 Todas las horas son CST. Hora actual 12:25 .
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado