Foros del Web » Administración de Sistemas » Unix / Linux »

Qmail posible ataque de autentificación

Estas en el tema de Qmail posible ataque de autentificación en el foro de Unix / Linux en Foros del Web. Buenas a todos, creo que es la primera vez que escribo aquí. Necesito vuestra ayuda. Tengo un problema en un servidor que administro con Plesk ...
  #1 (permalink)  
Antiguo 28/02/2010, 13:12
 
Fecha de Ingreso: julio-2007
Mensajes: 3
Antigüedad: 17 años, 4 meses
Puntos: 0
Qmail posible ataque de autentificación

Buenas a todos, creo que es la primera vez que escribo aquí. Necesito vuestra ayuda.

Tengo un problema en un servidor que administro con Plesk ,Qmail y spamdyke.

El otro día me avisaron que el correo no funcionaba y al mirar vi que tenia en cola de salida mas de 19000 mensajes.

Una vez borrados con qmhandle (todos tenían el mismo origen, aparentemente local pero con una cuenta y dominio que no existía en el servidor) me puse a revisar el log para ver que había pasado.

Aparentemente el servidor smtp permitía que el cliente remoto enviara mensajes (open relay) desde mi servidor hacia fuera. Dado que la conexión smtp se autentificaba con éxito con el usuario "postmaster" .

He de decir que tal usuario no existe en ninguno de los dominios ni en el sistema. Solo existe un alias en la configuración de qmail que apunta a root. Pero creo que eso es normal y necesario en todas las instalaciones.

En el log de qmail me encontré esto repetido miles de veces:

Feb 24 10:07:47 mail relaylock: /var/qmail/bin/relaylock: mail from 208.53.42.33:3140 (not defined)
Feb 24 10:07:48 mail smtp_auth: SMTP connect from (null)@(null) [208.53.42.33]
Feb 24 10:07:48 mail smtp_auth: smtp_auth: SMTP user postmaster : logged in from (null)@(null) [208.53.42.33]

Todos desde la misma ip y con el mismo usuario "postmaster".

Después de cada uno de estos, spamdyke (antispam) dejaba pasar el correo (ya que estaba autentificado) y el servidor lo enviaba a la cuenta remota como si de un usuario valido se tratará.

Alguien puede ayudarme, he revisado las webs y no he encontrado ningún script ni nada raro. Todo apunta a un fallo en la autentificación de qmail o similar.

Gracias

Etiquetas: plesk, postmaster, qmail, spam, spamdyke
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:34.