Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 11:14

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 21 ]  Przejdź na stronę 1, 2  Następna
Autor Wiadomość
Post: środa, 11 listopada 2009, 11:13 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
witam,
nie jestem w prawnym linuksowcem, takze prosze o wyrozumiałość.
od jakiegoś czasu zaobserwowałem proby wysyłania poczty na rozne serwery z mojego serwera, probuje to ograniczac poprzez hermesa, efekt jest nieco lepszy, ale ciagle w logach notuje proby wysylki poczty (z jakichs domyslnych, przypadkowych adresow typu sadaskdalskd@roofsds.cn). Ostatnio natomiast w access.log mam cos takiego:
------------
87.230.73.21 - - [11/Nov/2009:06:50:55 +0100] "GET /din.aspx?s=00000000&client=DynGate&rnd=39010410&p=10000001 HTTP/1.0" 404 1038
87.230.73.21 - - [11/Nov/2009:07:51:59 +0100] "GET /din.aspx?s=00000000&client=DynGate&rnd=135267610&p=10000001 HTTP/1.0" 404 1038
87.230.73.21 - - [11/Nov/2009:08:42:56 +0100] "GET /din.aspx?s=00000000&client=DynGate&rnd=562719232&p=10000001 HTTP/1.0" 404 1038
89.79.44.15 - - [11/Nov/2009:08:54:51 +0100] "GET /robots.txt HTTP/1.1" 404 1050
89.79.44.15 - - [11/Nov/2009:08:54:51 +0100] "GET /sitemap.xml HTTP/1.1" 404 1050
207.241.227.77 - - [11/Nov/2009:08:54:52 +0100] "GET /robots.txt HTTP/1.1" 404 1050
-------------------
czy ktoś móglby mi pomoc 'wyprostować' te rzeczy? z góry dzieki za pomoc


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 12:11 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
PS. po wykonaniu netstat -a mam cos takiego: (może sie czepiam, ale nie do konca sie znam czy jest wszystko OK czy tez nie)
-------------------
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:995 *:* LISTEN
tcp 0 0 *:rsync *:* LISTEN
tcp 0 0 *:netbios-ssn *:* LISTEN
tcp 0 0 *:pop3 *:* LISTEN
tcp 0 0 localhost.localdoma:783 *:* LISTEN
tcp 0 0 *:www *:* LISTEN
tcp 0 0 *:10001 *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 *:smtp *:* LISTEN
tcp 0 0 *:2525 *:* LISTEN
tcp 0 0 *:445 *:* LISTEN
tcp 0 0 cykl.:ssh chello08907904401:51281 ESTABLISHED
tcp 0 0 cykl.:smtp adsl-75-50-17-49.d:1090 ESTABLISHED
tcp 0 52 cykl.:ssh chello08907904401:49852 ESTABLISHED
udp 0 0 cyklo.ws-:netbios-ns *:*
udp 0 0 cykl:netbios-ns *:*
udp 0 0 *:netbios-ns *:*
udp 0 0 cykl.ws:netbios-dgm *:*
udp 0 0 cykl:netbios-dgm *:*
udp 0 0 *:netbios-dgm *:*
udp 0 0 *:10001 *:*
udp 0 0 *:bootps *:*
raw 0 0 *:icmp *:* 7
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 10 [ ] DGRAM 171 /dev/log
unix 2 [ ACC ] STREAM LISTENING 1095 /var/lib/clamav/clamd.sock
unix 2 [ ACC ] STREAM LISTENING 2080 /var/pwcheck/pwcheck
unix 3 [ ] STREAM CONNECTED 14661
unix 3 [ ] STREAM CONNECTED 14660
unix 3 [ ] STREAM CONNECTED 14659
unix 3 [ ] STREAM CONNECTED 14658
unix 3 [ ] STREAM CONNECTED 14655
unix 3 [ ] STREAM CONNECTED 14654
unix 2 [ ] DGRAM 8520
unix 3 [ ] STREAM CONNECTED 2468
unix 3 [ ] STREAM CONNECTED 2467
unix 3 [ ] STREAM CONNECTED 2318
unix 3 [ ] STREAM CONNECTED 2317
unix 3 [ ] STREAM CONNECTED 2316
unix 3 [ ] STREAM CONNECTED 2315
unix 2 [ ] DGRAM 2306
unix 2 [ ] DGRAM 2292
unix 2 [ ] DGRAM 1871
unix 2 [ ] DGRAM 1297
unix 2 [ ] DGRAM 1278
unix 2 [ ] DGRAM 632
unix 2 [ ] DGRAM 281


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 12:43 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
Przepraszam, ze zawracam glowe, ale moze przyda sie tez kawalek mail.log:
---------------
Nov 11 11:27:16 cykl tpop3d[5651]: mailspool_new_from_file: indexed mailspool /var/mail/pw (5004 bytes) in 0.000s
Nov 11 11:27:16 cykl tpop3d[5651]: connections_post_select: client [6]pw(192.168.1.90): finished session for `pw' with passwd
Nov 11 11:27:16 cykl tpop3d[5651]: connections_post_select: client [6]pw(192.168.1.90): disconnected; 87/5462 bytes read/written
Nov 11 11:27:22 cykl hermes: 421 (greylist) from car@wss.edu.pl (ip:59.93.186.43, hostname:, ehlo:[59.93.186.43]) -> to car@wss.edu.pl
Nov 11 11:27:42 cykl hermes: 421 (throttling) from car@wss.edu.pl (ip:59.93.186.43, hostname:not-resolved, ehlo:[59.93.186.43]) -> to car@wss.edu.pl
Nov 11 11:30:04 cykl tpop3d[347]: listeners_post_select: client [6]192.168.1.90/cykl: connected to local address 192.168.1.1:110
Nov 11 11:30:04 cykl tpop3d[347]: authcontext_new_user_pass: began session for `pw' with passwd; uid 1043, gid 12
Nov 11 11:30:04 cykl tpop3d[347]: fork_child: [6]pw(192.168.1.90): began session for `pw' with passwd; child PID is 5653
Nov 11 11:30:04 cykl tpop3d[5653]: mailspool_new_from_file: indexed mailspool /var/mail/pw (0 bytes) in 0.000s
Nov 11 11:30:04 cykl tpop3d[5653]: connections_post_select: client [6]pw(192.168.1.90): finished session for `pw' with passwd
Nov 11 11:30:04 cykl tpop3d[5653]: connections_post_select: client [6]pw(192.168.1.90): disconnected; 43/211 bytes read/written
Nov 11 11:33:31 cykl hermes: 421 (greylist) from prorektor@wss.edu.pl (ip:86.43.96.79, hostname:, ehlo:[86.43.96.79]) -> to prorektor@wss.edu.pl
Nov 11 11:33:51 cykl hermes: 421 (throttling) from prorektor@wss.edu.pl (ip:86.43.96.79, hostname:not-resolved, ehlo:[86.43.96.79]) -> to prorektor@wss.edu.pl
Nov 11 11:35:04 cykl tpop3d[347]: listeners_post_select: client [6]192.168.1.90/cykl: connected to local address 192.168.1.1:110
Nov 11 11:35:04 cykl tpop3d[347]: authcontext_new_user_pass: began session for `pw' with passwd; uid 1043, gid 12
Nov 11 11:35:04 cykl tpop3d[347]: fork_child: [6]pw(192.168.1.90): began session for `pw' with passwd; child PID is 5715
Nov 11 11:35:04 cykl tpop3d[5715]: mailspool_new_from_file: indexed mailspool /var/mail/pw (0 bytes) in 0.000s
Nov 11 11:35:04 cykl tpop3d[5715]: connections_post_select: client [6]pw(192.168.1.90): finished session for `pw' with passwd
Nov 11 11:35:04 cykl tpop3d[5715]: connections_post_select: client [6]pw(192.168.1.90): disconnected; 43/211 bytes read/written
Nov 11 11:36:59 cykl hermes: 421 (greylist) from bearskins@stockhouse.com (ip:65.170.185.60, hostname:, ehlo:LDIVGDLRDW) -> to dziekanat@wss.edu.pl
Nov 11 11:37:45 cykl hermes: 421 (data_before_banner) (ip:201.250.52.147)
Nov 11 11:37:54 cykl hermes: 421 (throttling) from no-from (ip:121.247.11.205, hostname:not-resolved, ehlo:no-ehlo) -> to no-to
Nov 11 11:38:57 cykl hermes: 421 (data_before_banner) (ip:125.27.186.212)
Nov 11 11:39:15 cykl hermes: 421 (greylist) from dziekanat@jezuici.pl (ip:80.202.248.58, hostname:58.80-202-248.nextgentel.com, helo:58.80-202-248.nextgentel.com) -> to dziekanat@wss.edu.pl


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 14:55 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
: [/] [] ()
87.230.73.21 - - [11/Nov/2009:06:50:55 +0100] "GET /din.aspx?s=00000000&client=DynGate&rnd=39010410&p=10000001 HTTP/1.0" 404 1038

Ktoś usiłuje wywołać din.aspx i dostaje erroor 404. Nic groźnego jeśli nie masz din.aspx i IIS windowsowego. Jakiś robot poszukuje znanych dziur w oprogramowaniu, tym razem windowsowych.

Co do reszty dołączonych wyników, to one niewiele mówią. Log mail, w którym zapisuje hermes, nie jest przydatny.
Jeśli masz prawidłową konfigurację poczty i hermesa, to port 25 należy do hermesa na obydwu interfejsach. W ten sposób powinna ulec zmniejszeniu ilość wysyłek z LAN. Jednak najlepszym wyjściem jest mieć LAN na innym IP niż serwer poczty. Dla lanu port 25 zablokować całkowicie.
Odrębną sprawą jest, czy masz prawidłową konfigurację exima i czy nie jesteś open relay.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 15:00 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
Maćku:
1. jak moge sprawdzić to open relay?
2. czy regułka (iptables -A FORWARD -p tcp -s 87.230.73.21 -j DROP) jest poprawna?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 15:03 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
1. Jeśli można z danego serwera wysłać pocztę nie autoryzując się, to jest open relay. W logach zwykle się to objawia komunikatami o wysłaniu poczty z jakiegoś adresu na jakiś adres i obydwa nie należą do ciebie.
2. To zależy od tego co ta regułka ma wg ciebie zrobić.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 15:08 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
chciałem zablokować calkowicie serwer aby kazdy kto z tego ip kliknie w moj adres nie otrzymal nawet pinga


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 15:09 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
No to regułka w łańcuchu FORWARD nic nie da. Należy to zrobić w INPUT.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 15:11 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
Dzieki, wobec tego powiedz mi jeszcze gdzie najlepiej poczytac (zaznaczam ze nie jestem linuksowcem) o open relay? tak abym mogl prosto krok po kroku przekonfigurowac moj serwer, jesli bedzie to wymagalo zmian?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 15:20 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Nie wiem. Proponowałbym wrzucić w google frazę open+relay. Zapewne o konfiguracji exima możesz poczytać na stronie nND, a najwięcej znajdziesz na www.exim.org.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 16:33 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
w pliku exim.conf nie mam wpisw typu 'host_accept_relay', generalnie nic chyba nie wskazuje, ze jest ok - jest to standardowy plik exima (standardowy w sensie opisów z roznych for). Jesli ktos moglby spojrzec i ewentualnie dac wskazówke co poprawic/zmienic lub co jest zle - moj exim.conf - http://wklej.to/czQF


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 16:49 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Cytuj:
pliku exim.conf nie mam wpisw typu 'host_accept_relay'

To o niczym nie świadczy.
Cytuj:
moj exim.conf - http://wklej.to/czQF

Jaja sobie robisz? To ma być działający konfig exima z twojego serwera?

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 16:55 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
Maćku, mowiłem nie jestem znawcą tematu ani linuksa. Probuje to ogarnąć, o wiele rzecy pytam takze nie denerwuj się. Jesli moge cie prosić to wskaż mi co mogę naprawić


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 17:54 
Offline
MODERATOR

Rejestracja: środa, 24 października 2007, 15:30
Posty: 329
Lokalizacja: Sadowne
Podaj prawdziwe dane konfiguratorowi ...

_________________
Polska Grupa Freesco
medhost - Kompleksowe rozwiązania informatyczne
Przychodnia Optima Koszarska Rudnicka


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 18:08 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jeśli chcesz uzyskać pomoc, to musisz podawać prawdziwe dane z logów, prawdziwe dane konfiguracyjne itd.
: [/] [] ()
primary_hostname = exim_hostname.exim_domain
smtp_banner = +OK exim_domain ready
domainlist local_domains = @:localhost:exim_domain
domainlist relay_to_domains = @:exim_domain
hostlist   relay_from_hosts = 127.0.0.1:exim_localnet

Spojrzałeś choć, co wkleiłeś?
Na teoretyczny konfig to ja ci mogę odpowiedzieć, że teoretycznie wszystko jest w porządku.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 19:36 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
Przepraszam najmocniej-my fault-tak to jest jak mi sie dzieciak bawi przy komputerze. Jeszcze raz sorry-link do exim.conf - http://wklej.to/wDvi


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 19:39 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
czlowiek robi jedno, oderwie sie na chwile i potem są problemy, bo dzieciak siada,cos kopiuje a potem Macie sluszne pretencje. Przepraszam jeszcze raz


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 20:17 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
: [/] [] ()
############################################
#tls_certificate = /etc/mail/exim.crt
#tls_privatekey = /etc/mail/exim.key
#tls_advertise_hosts = *
#tls_verify_hosts = *
############################################

Dlaczego ścieżki do certyfikatów są zahaszowane? Ale to jest pytanie niejako na marginesie.
: [/] [] ()
hostlist   relay_from_hosts = 127.0.0.1 : 192.168.1.0/24

Zdecydowanie wywaliłbym zakres adresów lokalnej sieci. To pozwala im wysyłać bez autoryzacji. Co prawda masz hermesa, ale mimo wszystko...
: [/] [] ()
# acl_smtp_data = acl_check_content
#acl_smtp_data = exiscan
#acl_smtp_auth = acl_check_auth

Masz zahaszowane w sumie bardzo istotne wpisy. Pomijam exiscan, bo to wyłącza ci skanowanie clamavem, pal diabli. Ale ostatni z nich w zasadzie wyłącza autoryzację. Na dodatek masz wpisy spamassassina i nie wiem czy paradoksalnie tam nie ma czegoś, co psuje zasady bezpieczeństwa. Nigdy tego nie stosowałem, więc nie wiem. Może czerwo jeszcze stosuje i coś ci powie?

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 20:26 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
ad 1/ co do certyfikatów-szczerze powiedziawszy "zastałem" pewien już stan-poprzednik coś robił, to co widac to jego praca, ja jak moge staram sie prostowac pewne rzeczy
ad 2/ czyli mam zahaszowac tę linie calkowicie ?
ad 3/ zdaje sie ze cos nie tak bylo z clamav, stad te hasze, sprobuje odplotkować i sprobowac przetestowac poczte


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 11 listopada 2009, 20:33 
Offline

Rejestracja: środa, 28 października 2009, 19:33
Posty: 14
PS. fraze "acl_smtp_auth = acl_check_auth" mam w 2 miejscach w exim.conf. Tak powinno byc?


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 21 ]  Przejdź na stronę 1, 2  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 23 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl