| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| czyżby trojan? proszę o pomoc http://forum.freesco.pl/viewtopic.php?f=24&t=17906 |
Strona 1 z 2 |
| Autor: | cert12 [ środa, 11 listopada 2009, 11:13 ] |
| Tytuł: | czyżby trojan? proszę o pomoc |
witam, nie jestem w prawnym linuksowcem, takze prosze o wyrozumiałość. od jakiegoś czasu zaobserwowałem proby wysyłania poczty na rozne serwery z mojego serwera, probuje to ograniczac poprzez hermesa, efekt jest nieco lepszy, ale ciagle w logach notuje proby wysylki poczty (z jakichs domyslnych, przypadkowych adresow typu sadaskdalskd@roofsds.cn). Ostatnio natomiast w access.log mam cos takiego: ------------ 87.230.73.21 - - [11/Nov/2009:06:50:55 +0100] "GET /din.aspx?s=00000000&client=DynGate&rnd=39010410&p=10000001 HTTP/1.0" 404 1038 87.230.73.21 - - [11/Nov/2009:07:51:59 +0100] "GET /din.aspx?s=00000000&client=DynGate&rnd=135267610&p=10000001 HTTP/1.0" 404 1038 87.230.73.21 - - [11/Nov/2009:08:42:56 +0100] "GET /din.aspx?s=00000000&client=DynGate&rnd=562719232&p=10000001 HTTP/1.0" 404 1038 89.79.44.15 - - [11/Nov/2009:08:54:51 +0100] "GET /robots.txt HTTP/1.1" 404 1050 89.79.44.15 - - [11/Nov/2009:08:54:51 +0100] "GET /sitemap.xml HTTP/1.1" 404 1050 207.241.227.77 - - [11/Nov/2009:08:54:52 +0100] "GET /robots.txt HTTP/1.1" 404 1050 ------------------- czy ktoś móglby mi pomoc 'wyprostować' te rzeczy? z góry dzieki za pomoc |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 12:11 ] |
| Tytuł: | |
PS. po wykonaniu netstat -a mam cos takiego: (może sie czepiam, ale nie do konca sie znam czy jest wszystko OK czy tez nie) ------------------- Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:995 *:* LISTEN tcp 0 0 *:rsync *:* LISTEN tcp 0 0 *:netbios-ssn *:* LISTEN tcp 0 0 *:pop3 *:* LISTEN tcp 0 0 localhost.localdoma:783 *:* LISTEN tcp 0 0 *:www *:* LISTEN tcp 0 0 *:10001 *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 *:smtp *:* LISTEN tcp 0 0 *:2525 *:* LISTEN tcp 0 0 *:445 *:* LISTEN tcp 0 0 cykl.:ssh chello08907904401:51281 ESTABLISHED tcp 0 0 cykl.:smtp adsl-75-50-17-49.d:1090 ESTABLISHED tcp 0 52 cykl.:ssh chello08907904401:49852 ESTABLISHED udp 0 0 cyklo.ws-:netbios-ns *:* udp 0 0 cykl:netbios-ns *:* udp 0 0 *:netbios-ns *:* udp 0 0 cykl.ws:netbios-dgm *:* udp 0 0 cykl:netbios-dgm *:* udp 0 0 *:netbios-dgm *:* udp 0 0 *:10001 *:* udp 0 0 *:bootps *:* raw 0 0 *:icmp *:* 7 Active UNIX domain sockets (servers and established) Proto RefCnt Flags Type State I-Node Path unix 10 [ ] DGRAM 171 /dev/log unix 2 [ ACC ] STREAM LISTENING 1095 /var/lib/clamav/clamd.sock unix 2 [ ACC ] STREAM LISTENING 2080 /var/pwcheck/pwcheck unix 3 [ ] STREAM CONNECTED 14661 unix 3 [ ] STREAM CONNECTED 14660 unix 3 [ ] STREAM CONNECTED 14659 unix 3 [ ] STREAM CONNECTED 14658 unix 3 [ ] STREAM CONNECTED 14655 unix 3 [ ] STREAM CONNECTED 14654 unix 2 [ ] DGRAM 8520 unix 3 [ ] STREAM CONNECTED 2468 unix 3 [ ] STREAM CONNECTED 2467 unix 3 [ ] STREAM CONNECTED 2318 unix 3 [ ] STREAM CONNECTED 2317 unix 3 [ ] STREAM CONNECTED 2316 unix 3 [ ] STREAM CONNECTED 2315 unix 2 [ ] DGRAM 2306 unix 2 [ ] DGRAM 2292 unix 2 [ ] DGRAM 1871 unix 2 [ ] DGRAM 1297 unix 2 [ ] DGRAM 1278 unix 2 [ ] DGRAM 632 unix 2 [ ] DGRAM 281 |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 12:43 ] |
| Tytuł: | |
Przepraszam, ze zawracam glowe, ale moze przyda sie tez kawalek mail.log: --------------- Nov 11 11:27:16 cykl tpop3d[5651]: mailspool_new_from_file: indexed mailspool /var/mail/pw (5004 bytes) in 0.000s Nov 11 11:27:16 cykl tpop3d[5651]: connections_post_select: client [6]pw(192.168.1.90): finished session for `pw' with passwd Nov 11 11:27:16 cykl tpop3d[5651]: connections_post_select: client [6]pw(192.168.1.90): disconnected; 87/5462 bytes read/written Nov 11 11:27:22 cykl hermes: 421 (greylist) from car@wss.edu.pl (ip:59.93.186.43, hostname:, ehlo:[59.93.186.43]) -> to car@wss.edu.pl Nov 11 11:27:42 cykl hermes: 421 (throttling) from car@wss.edu.pl (ip:59.93.186.43, hostname:not-resolved, ehlo:[59.93.186.43]) -> to car@wss.edu.pl Nov 11 11:30:04 cykl tpop3d[347]: listeners_post_select: client [6]192.168.1.90/cykl: connected to local address 192.168.1.1:110 Nov 11 11:30:04 cykl tpop3d[347]: authcontext_new_user_pass: began session for `pw' with passwd; uid 1043, gid 12 Nov 11 11:30:04 cykl tpop3d[347]: fork_child: [6]pw(192.168.1.90): began session for `pw' with passwd; child PID is 5653 Nov 11 11:30:04 cykl tpop3d[5653]: mailspool_new_from_file: indexed mailspool /var/mail/pw (0 bytes) in 0.000s Nov 11 11:30:04 cykl tpop3d[5653]: connections_post_select: client [6]pw(192.168.1.90): finished session for `pw' with passwd Nov 11 11:30:04 cykl tpop3d[5653]: connections_post_select: client [6]pw(192.168.1.90): disconnected; 43/211 bytes read/written Nov 11 11:33:31 cykl hermes: 421 (greylist) from prorektor@wss.edu.pl (ip:86.43.96.79, hostname:, ehlo:[86.43.96.79]) -> to prorektor@wss.edu.pl Nov 11 11:33:51 cykl hermes: 421 (throttling) from prorektor@wss.edu.pl (ip:86.43.96.79, hostname:not-resolved, ehlo:[86.43.96.79]) -> to prorektor@wss.edu.pl Nov 11 11:35:04 cykl tpop3d[347]: listeners_post_select: client [6]192.168.1.90/cykl: connected to local address 192.168.1.1:110 Nov 11 11:35:04 cykl tpop3d[347]: authcontext_new_user_pass: began session for `pw' with passwd; uid 1043, gid 12 Nov 11 11:35:04 cykl tpop3d[347]: fork_child: [6]pw(192.168.1.90): began session for `pw' with passwd; child PID is 5715 Nov 11 11:35:04 cykl tpop3d[5715]: mailspool_new_from_file: indexed mailspool /var/mail/pw (0 bytes) in 0.000s Nov 11 11:35:04 cykl tpop3d[5715]: connections_post_select: client [6]pw(192.168.1.90): finished session for `pw' with passwd Nov 11 11:35:04 cykl tpop3d[5715]: connections_post_select: client [6]pw(192.168.1.90): disconnected; 43/211 bytes read/written Nov 11 11:36:59 cykl hermes: 421 (greylist) from bearskins@stockhouse.com (ip:65.170.185.60, hostname:, ehlo:LDIVGDLRDW) -> to dziekanat@wss.edu.pl Nov 11 11:37:45 cykl hermes: 421 (data_before_banner) (ip:201.250.52.147) Nov 11 11:37:54 cykl hermes: 421 (throttling) from no-from (ip:121.247.11.205, hostname:not-resolved, ehlo:no-ehlo) -> to no-to Nov 11 11:38:57 cykl hermes: 421 (data_before_banner) (ip:125.27.186.212) Nov 11 11:39:15 cykl hermes: 421 (greylist) from dziekanat@jezuici.pl (ip:80.202.248.58, hostname:58.80-202-248.nextgentel.com, helo:58.80-202-248.nextgentel.com) -> to dziekanat@wss.edu.pl |
|
| Autor: | Maciek [ środa, 11 listopada 2009, 14:55 ] |
| Tytuł: | |
87.230.73.21 - - [11/Nov/2009:06:50:55 +0100] "GET /din.aspx?s=00000000&client=DynGate&rnd=39010410&p=10000001 HTTP/1.0" 404 1038 Ktoś usiłuje wywołać din.aspx i dostaje erroor 404. Nic groźnego jeśli nie masz din.aspx i IIS windowsowego. Jakiś robot poszukuje znanych dziur w oprogramowaniu, tym razem windowsowych. Co do reszty dołączonych wyników, to one niewiele mówią. Log mail, w którym zapisuje hermes, nie jest przydatny. Jeśli masz prawidłową konfigurację poczty i hermesa, to port 25 należy do hermesa na obydwu interfejsach. W ten sposób powinna ulec zmniejszeniu ilość wysyłek z LAN. Jednak najlepszym wyjściem jest mieć LAN na innym IP niż serwer poczty. Dla lanu port 25 zablokować całkowicie. Odrębną sprawą jest, czy masz prawidłową konfigurację exima i czy nie jesteś open relay. |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 15:00 ] |
| Tytuł: | |
Maćku: 1. jak moge sprawdzić to open relay? 2. czy regułka (iptables -A FORWARD -p tcp -s 87.230.73.21 -j DROP) jest poprawna? |
|
| Autor: | Maciek [ środa, 11 listopada 2009, 15:03 ] |
| Tytuł: | |
1. Jeśli można z danego serwera wysłać pocztę nie autoryzując się, to jest open relay. W logach zwykle się to objawia komunikatami o wysłaniu poczty z jakiegoś adresu na jakiś adres i obydwa nie należą do ciebie. 2. To zależy od tego co ta regułka ma wg ciebie zrobić. |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 15:08 ] |
| Tytuł: | |
chciałem zablokować calkowicie serwer aby kazdy kto z tego ip kliknie w moj adres nie otrzymal nawet pinga |
|
| Autor: | Maciek [ środa, 11 listopada 2009, 15:09 ] |
| Tytuł: | |
No to regułka w łańcuchu FORWARD nic nie da. Należy to zrobić w INPUT. |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 15:11 ] |
| Tytuł: | |
Dzieki, wobec tego powiedz mi jeszcze gdzie najlepiej poczytac (zaznaczam ze nie jestem linuksowcem) o open relay? tak abym mogl prosto krok po kroku przekonfigurowac moj serwer, jesli bedzie to wymagalo zmian? |
|
| Autor: | Maciek [ środa, 11 listopada 2009, 15:20 ] |
| Tytuł: | |
Nie wiem. Proponowałbym wrzucić w google frazę open+relay. Zapewne o konfiguracji exima możesz poczytać na stronie nND, a najwięcej znajdziesz na www.exim.org. |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 16:33 ] |
| Tytuł: | |
w pliku exim.conf nie mam wpisw typu 'host_accept_relay', generalnie nic chyba nie wskazuje, ze jest ok - jest to standardowy plik exima (standardowy w sensie opisów z roznych for). Jesli ktos moglby spojrzec i ewentualnie dac wskazówke co poprawic/zmienic lub co jest zle - moj exim.conf - http://wklej.to/czQF |
|
| Autor: | Maciek [ środa, 11 listopada 2009, 16:49 ] |
| Tytuł: | |
Cytuj: pliku exim.conf nie mam wpisw typu 'host_accept_relay' To o niczym nie świadczy. Cytuj: moj exim.conf - http://wklej.to/czQF
Jaja sobie robisz? To ma być działający konfig exima z twojego serwera? |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 16:55 ] |
| Tytuł: | |
Maćku, mowiłem nie jestem znawcą tematu ani linuksa. Probuje to ogarnąć, o wiele rzecy pytam takze nie denerwuj się. Jesli moge cie prosić to wskaż mi co mogę naprawić |
|
| Autor: | Saturas [ środa, 11 listopada 2009, 17:54 ] |
| Tytuł: | |
Podaj prawdziwe dane konfiguratorowi ... |
|
| Autor: | Maciek [ środa, 11 listopada 2009, 18:08 ] |
| Tytuł: | |
Jeśli chcesz uzyskać pomoc, to musisz podawać prawdziwe dane z logów, prawdziwe dane konfiguracyjne itd. primary_hostname = exim_hostname.exim_domain smtp_banner = +OK exim_domain ready domainlist local_domains = @:localhost:exim_domain domainlist relay_to_domains = @:exim_domain hostlist relay_from_hosts = 127.0.0.1:exim_localnet Spojrzałeś choć, co wkleiłeś? Na teoretyczny konfig to ja ci mogę odpowiedzieć, że teoretycznie wszystko jest w porządku. |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 19:36 ] |
| Tytuł: | |
Przepraszam najmocniej-my fault-tak to jest jak mi sie dzieciak bawi przy komputerze. Jeszcze raz sorry-link do exim.conf - http://wklej.to/wDvi |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 19:39 ] |
| Tytuł: | |
czlowiek robi jedno, oderwie sie na chwile i potem są problemy, bo dzieciak siada,cos kopiuje a potem Macie sluszne pretencje. Przepraszam jeszcze raz |
|
| Autor: | Maciek [ środa, 11 listopada 2009, 20:17 ] |
| Tytuł: | |
############################################ #tls_certificate = /etc/mail/exim.crt #tls_privatekey = /etc/mail/exim.key #tls_advertise_hosts = * #tls_verify_hosts = * ############################################ Dlaczego ścieżki do certyfikatów są zahaszowane? Ale to jest pytanie niejako na marginesie. Zdecydowanie wywaliłbym zakres adresów lokalnej sieci. To pozwala im wysyłać bez autoryzacji. Co prawda masz hermesa, ale mimo wszystko... # acl_smtp_data = acl_check_content #acl_smtp_data = exiscan #acl_smtp_auth = acl_check_auth Masz zahaszowane w sumie bardzo istotne wpisy. Pomijam exiscan, bo to wyłącza ci skanowanie clamavem, pal diabli. Ale ostatni z nich w zasadzie wyłącza autoryzację. Na dodatek masz wpisy spamassassina i nie wiem czy paradoksalnie tam nie ma czegoś, co psuje zasady bezpieczeństwa. Nigdy tego nie stosowałem, więc nie wiem. Może czerwo jeszcze stosuje i coś ci powie? |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 20:26 ] |
| Tytuł: | |
ad 1/ co do certyfikatów-szczerze powiedziawszy "zastałem" pewien już stan-poprzednik coś robił, to co widac to jego praca, ja jak moge staram sie prostowac pewne rzeczy ad 2/ czyli mam zahaszowac tę linie calkowicie ? ad 3/ zdaje sie ze cos nie tak bylo z clamav, stad te hasze, sprobuje odplotkować i sprobowac przetestowac poczte |
|
| Autor: | cert12 [ środa, 11 listopada 2009, 20:33 ] |
| Tytuł: | |
PS. fraze "acl_smtp_auth = acl_check_auth" mam w 2 miejscach w exim.conf. Tak powinno byc? |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|