Mailinglist Archive: opensuse-es (1236 mails)

< Previous Next >
Re: [opensuse-es] Servidor SMTP generando tráfico malicioso
  • From: "Josep M. Queralt" <jmqueralt@xxxxxxxxx>
  • Date: Fri, 25 May 2007 09:59:01 +0200
  • Message-id: <20070525095857.A359.JMQUERALT@xxxxxxxxx>
El 25/05/2007 1:24:19  Carlos E. R. escribió:

robin.listas> 
robin.listas> ¿Te corta el envío de emails? Entonces lo que pasa es que el chisme ese 
robin.listas> piensa que tu servidor smtp está atacando a otros usando ese agujero del 
robin.listas> sendmail (que no tienes). A lo mejor hay que configurarlo diciendole cual 
robin.listas> es el servidor de correo del dominio y que no se le puede bloquear en 
robin.listas> ningún caso. Que no eres un currito enviando correos secretos con un XP.

No creo. Para atacar a SendMails vulnerables no es necesario que él lo
tenga instalado. Solo hay que mandar los correos con el "header"
malicioso y esperar a encontrar un SendMail antiguo que tenga el "bug",
como por ejemplo equipos con las versiones 9.x de SuSE, y que se lo
"trague".

Por eso yo proponía que capturara alguno de estos correos que provocaban
el positivo y analizara si el "header" malicioso coincide con la "firma"
del "exploit" exactamente o solo en parte.

Si la firma es exacta, entonces alguien (humano o no) que tiene acceso
a enviar correo está mandando el mensaje malicioso. Por las demás
cabeceras del correo y el log de sendmail puede verse desde donde se
produce el ataque.

Si la firma solo coincide en parte, se trata de un falso positivo.

Ya que además el programa en cuestión le para el servidor SMTP, no tiene
dificultad el hacerse con unos cuantos correos de la cola de mensajes y
analizarlos con la lupa. :-)


-- 
Saludos,

Josep M. Queralt 

< Previous Next >
Follow Ups