R: Sendmail : user open
GiulioMaria Fontana
giuliomaria.fontana a sinapsi.com
Gio 18 Ott 2001 08:59:54 UTC
Il 10:11, giovedì 18 ottobre 2001, hai scritto:
> Ciao Giulio,
>
> grazie della facile ironia su sendmail, scagli la prima pietra chi non ci ha
> mai smanettato un pò.
Figurati....io ho ancora dei server con sendmail configurato via linuxconf.
> Per il problema dello USER OPEN , così come è apparso adesso sembra
> scomparso. Ho spazzato un pò di logs,
> ho cancellato un pò di posta dal client (lascio sempre la posta anche sul
> server POP ) anche quelle che mi
> erano tornate indietro ( fossero quelle ? ).
Mmmm ad Ari si bloccò il pop3: lasciava la posta sul server e aveva raggiunto
i 100M nel file spool di posta.
> Quindi lo archivierei come un
> problema del mio sendmail che
> tentava di fare qualcosa su un server di posta ( come bene mi avete
> spiegato ) piuttosto che una intrusione.
> Comunque ho messo l' IP dello USEr OPEN in etc/hosts.deny ( provvisorio ? ),
> ho cambiato la mia password id telnet e
> quella di root ( si sa mai ... ).
Non credo sendmail sia legato da tcpwrapper di default.
Quindi mettendolo in deny blocchi telnet e ftp ma non sendmail.
Ma forse era quello che volevi.....
In ogni caso rimane il consiglio di fare un traceroute e un ping.
Per farti un esempio, un sabato mi telefonò un sysadmin dicendo che aveva il
mio telefono dai dati del NIC e che uno dei domini da me gestiti stava
tentando intrusioni sulla porta mail.
Piccola indagine e scoprii che telecom aveva messo le mani sui router per dei
lavori e per qualche motivo da quel momento la posta in uscita dal server
gestito da me iniziava l'invio ma non riusciva a fare altro. La ripetizione
del tentativo ogni tot di minuti era stato preso per un tentativo di
attacco...
Ti cosiglio 2 cose veloci: guardati il sendmail.cf che usa il tuo sendmail:
molti timeout sono commentati pronti per essere customizzati e decommentati.
Se vuoi tenere traccia del traffico sul server installati snort, ed
eventualmente (ma si dovrebbe fare appena la macchina viene installata)
tripwire.
Poca fatica e molta resa.
>
> Grazie a tutti.
>
> PS: Giulio, quanto vuoi all' ora ? ;-)
>
Bocca,c....o oppure......???
Giulio
--
_____________________________________________________________
Fontana GiulioMaria
System Administrator
Sinapsi Spa
Viale Bligny 27, 20136 Milan, Italy, Phone (+39) 02 582095.33
Maggiori informazioni sulla lista
Lug
|