Foros del Web » Administración de Sistemas » Unix / Linux »

Ataques?

Estas en el tema de Ataques? en el foro de Unix / Linux en Foros del Web. Hola. Revisando los logs, concretamente /var/log/messages Salen muchas lineas asi: Código: Feb 27 17:40:08 pesoccerworld xinetd[2389]: START: smtp pid=6032 from=83.5.244.124 Feb 27 17:40:10 pesoccerworld xinetd[2389]: ...
  #1 (permalink)  
Antiguo 27/02/2008, 11:09
 
Fecha de Ingreso: junio-2002
Mensajes: 516
Antigüedad: 22 años, 6 meses
Puntos: 0
Ataques?

Hola.

Revisando los logs, concretamente /var/log/messages

Salen muchas lineas asi:

Código:
Feb 27 17:40:08 pesoccerworld xinetd[2389]: START: smtp pid=6032 from=83.5.244.124
Feb 27 17:40:10 pesoccerworld xinetd[2389]: EXIT: smtp status=0 pid=6028 duration=4(sec)
Feb 27 17:40:11 pesoccerworld xinetd[2389]: START: smtp pid=6049 from=83.5.244.124
Sabeis que es?

Saludos
  #2 (permalink)  
Antiguo 27/02/2008, 12:51
Avatar de Koveart
Colaborador
 
Fecha de Ingreso: julio-2002
Ubicación: Colombia
Mensajes: 4.407
Antigüedad: 22 años, 5 meses
Puntos: 29
Re: Ataques?

Son peticiones de smtp a lo mejor tienes algun servicio de correo corriendo en tu máquina. Si es así y ni siqueira lo sabías lo mejor es que lo detengas.

Saludos
__________________
“Los soñadores no existen, se lo dice un soñador que ha tenido el privilegio de ver realidades que ni siquiera fue capaz de soñar”
  #3 (permalink)  
Antiguo 27/02/2008, 13:23
 
Fecha de Ingreso: junio-2002
Mensajes: 516
Antigüedad: 22 años, 6 meses
Puntos: 0
Re: Ataques?

Si bueno, el server tiene varios dominios y en todos esta habilitado el correo.
El server lleva el panel plesk.

haciendo un ps aux, tambien veo esto:

Código:
apache   31250  0.0  0.2  35124  9720 ?        S    20:19   0:00 /usr/sbin/httpd
qmailr   31262  0.0  0.0   3348   804 ?        S    20:19   0:00 qmail-remote coloradorapids.com  [email protected]
qmailr   31263  0.0  0.0   4252   888 ?        S    20:19   0:00 /var/qmail/bin/qmail-remote.moved coloradorapids.com  [email protected]
apache   31266  0.0  0.2  35124  9708 ?        S    20:19   0:00 /usr/sbin/httpd
Alguna idea de que puede ser?

El servidor tiene un mes solamente, de las primeras cosas que hice fue cambiar el puerto de shh y hoy le instale el bfd y apf.

Saludos

EDITANDO:

En la opcion "cola de envio" de plesk, veo muchos correos raros de este tipo, con el asunto "failure notice":

[email protected]
[email protected]
[email protected]

etc etc, asi hasta 177 mensajes en cola.

Última edición por Copp; 27/02/2008 a las 13:39
  #4 (permalink)  
Antiguo 27/02/2008, 13:43
Avatar de Koveart
Colaborador
 
Fecha de Ingreso: julio-2002
Ubicación: Colombia
Mensajes: 4.407
Antigüedad: 22 años, 5 meses
Puntos: 29
Re: Ataques?

Son procesos que cualquier servidore de correo o web puede tener ejecutandose.

Saludos
__________________
“Los soñadores no existen, se lo dice un soñador que ha tenido el privilegio de ver realidades que ni siquiera fue capaz de soñar”
  #5 (permalink)  
Antiguo 27/02/2008, 16:46
 
Fecha de Ingreso: junio-2002
Mensajes: 516
Antigüedad: 22 años, 6 meses
Puntos: 0
Re: Ataques?

Pues yo creo que estan utilizando el server para enviar SPAM.
Pero no lo entiendo, porque son direcciones que no existen

[[email protected] bin]# /usr/local/psa/admin/sbin/mailqueuemng -l
11016055 (21, R)
Return-path:
From: [email protected]
To: [email protected]
Subject: failure notice
Date: 27 Feb 2008 23:33:02 +0100
Size: 2670 bytes
Queue Time: 1204151582 sec
Envelope Recipients (R): [email protected]

11016072 (15, R)
Return-path:
From: [email protected]
To: [email protected]
Subject: failure notice
Date: 27 Feb 2008 23:39:10 +0100
Size: 1716 bytes
Queue Time: 1204151950 sec
Envelope Recipients (R): [email protected]

11016156 (7, R)
Return-path:
From: [email protected]
To: [email protected]
Subject: failure notice
Date: 27 Feb 2008 23:39:57 +0100
Size: 1590 bytes
Queue Time: 1204151997 sec
Envelope Recipients (R): [email protected]


Ahora estan estos 4 en cola, pero ya borre 100.
Alguna idea para evitar esto?
  #6 (permalink)  
Antiguo 02/03/2008, 03:45
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 3 meses
Puntos: 47
Re: Ataques?

A mi me suena a que estan enviando spam HACIA dominios hosteados en tu server, y por alguna razon estan rebotando, y tu server esta enviando el rebote de vuelta.
Esto es normal si tu server recibe mucho spam.
Saludos.
__________________
¡Volviendo a la programación!
  #7 (permalink)  
Antiguo 02/03/2008, 05:09
 
Fecha de Ingreso: junio-2002
Mensajes: 516
Antigüedad: 22 años, 6 meses
Puntos: 0
Re: Ataques?

Es un server nuevo y recien configurado, solo tiene 1 mes.
En mis dominios solo tengo cuentas de correo yo, y a dichas cuentas si recibo spam, pero como con cualquier otro correo.
El problema seria si se enviara spam a correos que existieran, pero ese no parece ser el problema, menos mal.
  #8 (permalink)  
Antiguo 05/09/2008, 04:20
 
Fecha de Ingreso: junio-2002
Mensajes: 516
Antigüedad: 22 años, 6 meses
Puntos: 0
Respuesta: Ataques?

Os recomiendo esta herramienta para poder verificar la configuracion de vuestro server en realacion al correo http://smtputils.sourceforge.net/
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:19.