Mailinglist Archive: opensuse-es (865 mails)

< Previous Next >
Re: [suse-linux-s] No quiero estar en las listas negras
  • From: "Juan Carlos Bravo Celis" <elbravito@xxxxxxxxx>
  • Date: Sun, 16 Jul 2006 13:27:45 -0500
  • Message-id: <26babb690607161127vb05d6c2vee639ac52f17d0a5@xxxxxxxxxxxxxx>
On 16/07/06, Josep M. Queralt <jmqueralt@xxxxxxxxx> wrote:
> On 15/07/06, Josep M. Queralt <jmqueralt@xxxxxxxxx> wrote:
> >
> Y como puedo solucionar esto...? en los ultimos dias lo unico que
> hacia es solicitar que me quitaran de las listas negras,

No lo hagas sin antes encontrar y solucionar el problema. La primera vez
te harán caso y te quitarán, pero si se repite el problema ya no te
quitarán jamás.

> que la carga dura ha culminado, ya tengo tiempo para configurar el
> servidor de correos correctamente, a fin de que no lo usen para que
> les envien spam desde mi servidor,,, es por ello que les pedi que me


Tu problema NO es el servidor de correo. El servidor está bien, aunque
quizá podrías instalarle la opción de obligarle a "recoger correo antes
de enviar", aunque yo creo que eso no te solucionaría nada.

Tu problema se llama "open proxy" y te ejecutan un ataque a través de
HTTP usando la propia IP de tu servidor.

Como el atacante usa tu IP (y probablemente el usuario de Apache) el
servidor de correo considera legítimo sus mensajes y los envía.

Está bien que hayas ordenado la revisión de los ordenadores clientes
aunque no es probable que tengas el problema ahí.

Tienes que asegurar la máquina que se usa de servidor (y no solo para el
correo).

1.- No has dicho si tienes SQUID instalado. En caso afirmativo es lo
primero que tienes que mirar. Revisa que esté correctamente configurado.
SQUID es un programa de "proxy". Si está mal configurado es más que
probable que sea el origen del problema.

Tengo varios servicios en mi red, cada servicio se encuentra en una
maquina diferente, en la DMZ, tengo un servidor web, un servidor de
correo, un servidor ftp. tambien tengo una maquina que hace netamente
de Proxy con el Squid, esta es mi red,


INTERNET----FW---------PROXY---------LAN-----WAN
\ FW
\ /
\ /
DMZ
(WEB,CORREO,FTP)

el servidor de correo, ademas del postfix tiene el openexchange
apache2 y tomcat en una misma maquina.

Asegúrate de tener actualizado todo el software que se usa en el
servidor. Hay otros programas que pueden provocar un "open proxy".

Es lo primero que voy ha hacer, en cuanto llegue al trabajo.

2.- Postfix dispone de un par de utilidades para intentar detectar el origen
del problema, instala los "addons" y actúa según los resultados

http://www.postfix.org/addon.html


lo hare y les comentare sobre los resultados y acciones que tome.

3.- No estaría de más que instalaras "Antivir" en el sistema y
escanearas el servidor regularmente.

http://www.free-av.com/

tambien lo hare,

4.- Revisa que no haya ejecutables extraños en los directorios "/tmp"
del servidor (normalmente son scripts en perl (.pl) o en bash (.sh)

les comentare que encontre en cuanto llegue al trabajo.

5.- Haz un scaneo de puertos externo del servidor por si saliera algo
raro, aunque con el "open proxy" se suelen utilizar puertos normalmente
abiertos relacionados con HTTP (80, 8080, 3128 ....)

recientemente hemos solicitado un scaneo etico a una empresa
especializada, y no encontro puertos abiertos desde afuera mas que los
necesarios para los servicios que tenemos.

6.- Mírate los logs del servidor de correo e intenta detectar que
usuario se está usando para enviar el "spam" masivo. Si has detectado
devoluciones masivas de mensajes por usuario desconocido, mírate las
cabeceras ("headers") de algunos de ellos, pueden ayudarte a identificar
el origen del problema.

> Si todo falla deberías desconectar la máquina de la red y hacer una
nueva instalalción limpia. Ya se que suena muy bestia, pero es lo más
prudente. Antes de hacer esto también puedes contactar con algún experto
en seguridad informática para que de con el origen del problema.

que servidor es el que deberia volver a instalar de Cero si me viera
en esa situacion.? por lo pronto voy a enfocarme en el servidor proxy,
y revisar sus actualizaciones y su configuracion. se que me espera una
ardua labor, pero es inevitable que vuelva a solicitar que me saquen
de la lista negra, pues necesito que la empresa continue operando.

Saludos

JCarlos

--
Para dar de baja la suscripción, mande un mensaje a:
suse-linux-s-unsubscribe@xxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
suse-linux-s-help@xxxxxxxx


< Previous Next >
Follow Ups