linux user group brescia
immagine del castello

Archivio della mailing list

R: Sendmail : user open

GiulioMaria Fontana giuliomaria.fontana a sinapsi.com
Gio 18 Ott 2001 08:59:54 UTC 
Il 10:11, giovedì 18 ottobre 2001, hai scritto:

> Ciao Giulio,
> 
> grazie della facile ironia su sendmail, scagli la prima pietra chi non ci ha
> mai smanettato un pò. 

Figurati....io ho ancora dei server con sendmail configurato via linuxconf.

> Per il problema dello USER OPEN , così come è apparso adesso sembra
> scomparso. Ho spazzato un pò di logs,
> ho cancellato un pò di posta dal client (lascio sempre la posta anche sul
> server POP ) anche quelle che mi
> erano tornate indietro ( fossero quelle ? ).  

Mmmm ad Ari si bloccò il pop3: lasciava la posta sul server e aveva raggiunto 
i 100M nel file spool di posta.

> Quindi lo archivierei come un
> problema del mio sendmail che
> tentava di fare qualcosa su un server di posta ( come bene mi avete
> spiegato ) piuttosto che una intrusione.
> Comunque ho messo l' IP dello USEr OPEN in etc/hosts.deny ( provvisorio ? ),
> ho cambiato la mia password id telnet e
> quella di root ( si sa mai ... ).

Non credo sendmail sia legato da tcpwrapper di default.
Quindi mettendolo in deny blocchi telnet e ftp ma non sendmail.
Ma forse era quello che volevi.....
In ogni caso rimane il consiglio di fare un traceroute e un ping.
Per farti un esempio, un sabato mi telefonò un sysadmin dicendo che aveva il 
mio telefono dai dati del NIC e che uno dei domini da me gestiti stava 
tentando intrusioni sulla porta mail.
Piccola indagine e scoprii che telecom aveva messo le mani sui router per dei 
lavori e per qualche motivo da quel momento la posta in uscita dal server 
gestito da me iniziava l'invio ma non riusciva a fare altro. La ripetizione 
del tentativo ogni tot di minuti era stato preso per un tentativo di 
attacco...

Ti cosiglio 2 cose veloci: guardati il sendmail.cf che usa il tuo sendmail: 
molti timeout sono commentati pronti per essere customizzati e decommentati.
Se vuoi tenere traccia del traffico sul server installati snort, ed 
eventualmente (ma si dovrebbe fare appena la macchina viene installata) 
tripwire.
Poca fatica e molta resa.

> 
> 	Grazie a tutti.
> 
> PS: Giulio, quanto vuoi all' ora ? ;-)
> 

Bocca,c....o oppure......???

Giulio

-- 
_____________________________________________________________
Fontana GiulioMaria
System Administrator
Sinapsi Spa
Viale Bligny 27, 20136 Milan, Italy, Phone (+39) 02 582095.33

Maggiori informazioni sulla lista Lug