El 2003-11-14 a las 04:01 +0100, miguel.listas escribió:
hablando de seguridad... estoy un poco mosca. Tengo activado el firewall con los servicios que doy con suse 9.0 (basicamente correo con postfix, http(s) con apache y un P2P). La cosa es que hoy me estan llegando muchisimos mensajes al /var/log/messages, del estilo de:
Nov 14 02:50:06 pistacho kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:0a:cd:05:58:51:00:30:80:c9:e4:70:08:00 SRC=212.194.18.141 DST=**.**.96.168 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=50754 DF PROTO=TCP SPT=4061 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204058C01010402)
La ip dst es la mia, y la src varia mucho. No tengo ni idea de lo que son, pero mi log crece a ritmo de 1 mega/min, o asi. Tengo entendido que postfix, por defecto, no permite relay de spam, y ademas, si paro postfix, siguen llegando los mismos mensajes al log. Que demonios puede ser?
Eso no es el postfix. Los puertos de origen y destino no estan asignados; debe estar aceptando eso paquetes porque debes tener habilitado lo de aceptar puertos altos. Prueba a desactivar eso en la configuración del firewall. Si el log te crece, eso significa que estan registrandose muchos de esos paquetes, luego algo en tu maquina está respondiendo en ese puerto: debes averiguar que aplicación es. ¿Tienes puesto algo del estilo del burrito? Si son paquetes legales, entonces lo que debes hacer es evitar que se registren en el log.
Ademas, en /var/log/mail.info, tengo demasiados mensajes desde hoy del estilo:
Si habilitas el mail.debug, verás más todavia; pero creo que es suficiente.
Nov 14 00:37:17 pistacho postfix/qmgr[2461]: 9DF432C103: from=
, size=2384, nrcpt=1 (queue active) Nov 14 00:37:17 pistacho postfix/smtpd[3270]: disconnect from lists.suse.com[195.135.221.131] Nov 14 00:37:17 pistacho postfix/local[3275]: 9DF432C103: to=<***************@pistacho.pattrynet.org>, relay=local, delay=1, status=sent (mailbox)
Enviado, o sea, recibido. Ok.
Nov 14 00:38:51 pistacho postfix/smtpd[3270]: connect from scanner.abuse.blueyonder.co.uk[193.38.113.34] Nov 14 00:38:51 pistacho postfix/smtpd[3270]: C0FE62C103: client=scanner.abuse.blueyonder.co.uk[193.38.113.34] Nov 14 00:38:51 pistacho postfix/smtpd[3270]: C0FE62C103: reject: RCPT from scanner.abuse.blueyonder.co.uk[193.38.113.34]: 554
: Relay access denied; from= to= proto=SMTP helo=
Inciso: si quieres ver mucha más información (de depuración) para algunos correos concretos, en el '/etc/postfix/main.cf' pon esto: debug_peer_list = scanner.abuse.blueyonder.co.uk (o usa POSTFIX_ADD_debug_peer_list= en el '/etc/sysconfig/postfix' y ejecuta suseconfig).
Donde se puede ver como la lista de correo de suse me envia correos a mi cuenta, pero tb hay referencias a algo llamado abuse@abuse.blueyonder.co.uk o scanner.abuse.blueyonder.co.uk (blueyonder es mi isp)...
Bueno, parece que están intentando enviar un correo desde
Nota: No pretendo hacer un secuestro de hilo, sino que he visto el correo este y he pensado que el mio podria encajar.
Fale :-) -- Saludos Carlos Robinson