Ataques?

Copp · #1 (**permalink**) 27/02/2008, 11:09

Hola.

Revisando los logs, concretamente /var/log/messages

Salen muchas lineas asi:

Código:

Feb 27 17:40:08 pesoccerworld xinetd[2389]: START: smtp pid=6032 from=83.5.244.124
Feb 27 17:40:10 pesoccerworld xinetd[2389]: EXIT: smtp status=0 pid=6028 duration=4(sec)
Feb 27 17:40:11 pesoccerworld xinetd[2389]: START: smtp pid=6049 from=83.5.244.124

Sabeis que es?

Saludos

Koveart · #2 (**permalink**) 27/02/2008, 12:51

Son peticiones de smtp a lo mejor tienes algun servicio de correo corriendo en tu máquina. Si es así y ni siqueira lo sabías lo mejor es que lo detengas.

Saludos

Copp · #3 (**permalink**) 27/02/2008, 13:23

Si bueno, el server tiene varios dominios y en todos esta habilitado el correo.
El server lleva el panel plesk.

haciendo un ps aux, tambien veo esto:

Código:

apache   31250  0.0  0.2  35124  9720 ?        S    20:19   0:00 /usr/sbin/httpd
qmailr   31262  0.0  0.0   3348   804 ?        S    20:19   0:00 qmail-remote coloradorapids.com  [email protected]
qmailr   31263  0.0  0.0   4252   888 ?        S    20:19   0:00 /var/qmail/bin/qmail-remote.moved coloradorapids.com  [email protected]
apache   31266  0.0  0.2  35124  9708 ?        S    20:19   0:00 /usr/sbin/httpd

Alguna idea de que puede ser?

El servidor tiene un mes solamente, de las primeras cosas que hice fue cambiar el puerto de shh y hoy le instale el bfd y apf.

Saludos

EDITANDO:

En la opcion "cola de envio" de plesk, veo muchos correos raros de este tipo, con el asunto "failure notice":

[email protected]
[email protected]
[email protected]

etc etc, asi hasta 177 mensajes en cola.

Koveart · #4 (**permalink**) 27/02/2008, 13:43

Son procesos que cualquier servidore de correo o web puede tener ejecutandose.

Saludos

Copp · #5 (**permalink**) 27/02/2008, 16:46

Pues yo creo que estan utilizando el server para enviar SPAM.
Pero no lo entiendo, porque son direcciones que no existen

[[email protected] bin]# /usr/local/psa/admin/sbin/mailqueuemng -l
11016055 (21, R)
Return-path:
From: [email protected]
To: [email protected]
Subject: failure notice
Date: 27 Feb 2008 23:33:02 +0100
Size: 2670 bytes
Queue Time: 1204151582 sec
Envelope Recipients (R): [email protected]

11016072 (15, R)
Return-path:
From: [email protected]
To: [email protected]
Subject: failure notice
Date: 27 Feb 2008 23:39:10 +0100
Size: 1716 bytes
Queue Time: 1204151950 sec
Envelope Recipients (R): [email protected]

11016156 (7, R)
Return-path:
From: [email protected]
To: [email protected]
Subject: failure notice
Date: 27 Feb 2008 23:39:57 +0100
Size: 1590 bytes
Queue Time: 1204151997 sec
Envelope Recipients (R): [email protected]

Ahora estan estos 4 en cola, pero ya borre 100.
Alguna idea para evitar esto?

AleSanchez · #6 (**permalink**) 02/03/2008, 03:45

A mi me suena a que estan enviando spam HACIA dominios hosteados en tu server, y por alguna razon estan rebotando, y tu server esta enviando el rebote de vuelta.
Esto es normal si tu server recibe mucho spam.
Saludos.

Copp · #7 (**permalink**) 02/03/2008, 05:09

Es un server nuevo y recien configurado, solo tiene 1 mes.
En mis dominios solo tengo cuentas de correo yo, y a dichas cuentas si recibo spam, pero como con cualquier otro correo.
El problema seria si se enviara spam a correos que existieran, pero ese no parece ser el problema, menos mal.

Copp · #8 (**permalink**) 05/09/2008, 04:20

Os recomiendo esta herramienta para poder verificar la configuracion de vuestro server en realacion al correo http://smtputils.sourceforge.net/