Mailinglist Archive: opensuse-es (1236 mails)

< Previous Next >
Re: [opensuse-es] Servidor SMTP generando tráfico malicioso
  • From: "Victor Hugo dos Santos" <listas.vhs@xxxxxxxxx>
  • Date: Fri, 25 May 2007 09:26:27 -0400
  • Message-id: <5dce4940705250626sa1dfe41m6f525496d16c4e2f@xxxxxxxxxxxxxx>
El 24/05/07, Instituto de Ingenieria Área de Sistemas Unix/Linux
<unix.iingen@xxxxxxxxx> escribió:
Primero que nada, gracias por las respuestas.

>Si los positivos son verdaderos, entonces realmente hay un problema ya
>que un "exploit" se ha colado en el sistema. Pero eso tendría que haber
>ido acompañado de otros síntomas, tal como el incremento de las
>devoluciones de mensajes remitidos a correos inexistentes y, en general,
>un incremento significativo del correo saliente.

En cuanto a que mi equipo tenga un exploit, es poco probable debido a
que no tengo  sintomas de rechazo de correo, mensajes atascados, el
funcionamiento es normal.

un exploit puede echar abajo el sistema, pero tambien puede permitir
el acceso externo o la ejecuccion de codigos maliciosos en vuestra
computadora sin que usted se entere !!!

 Digo no esta de mas que le ejecute un
nessus, pero poniendome a pensar, quien sabe si el nessus detecte un
exploit dentro del postfix.

nessus es un analizador de vunerabilidad, que simplesmente se conecta
a los puertos abiertos y verifica la version de los programas que
estan funcionando y los compara con su base de dados.. caso existan
exploits/problemas para esta version, te avisa.

pero en algunas veces, algunas distros liberan parches para problemas
conocidos sin alterar la version del producto.. por ejemplo:

apache-2.0.42.rpm
apache-2.0.42_01.rpm

para el gestor de paquetes RPM hay una diferencia entre las dos.. pero
posiblemente el ejecutable aun tendra como version la apache-2.0.42 y
esto para nessus ya seria un programa suceptible a fallos.

en resumen: nessus (igual que otros) es un programa bueno que sirve
como guia base para ver los problemas.. pero no se puede considerar
los resultados como reales... despues de aplicar nessus, y ver los
problemas que menciona se debe de aplicar herramentas mas especificas
para cada producto como por ejemplo, nikto para http.

>Ojo, los equipos TippingPoint son IPS de 3Com.  Son muy buenos, pero según
>como esten configurados puede tener muchos falsos positivos  !!!

En mi opinion, la falla puede estar por aqui, ya que el día de ayer me
reportaron que mi computadora personal estaba infectada con un spyware
llamado "hotbar bowser comunication",  cabe mencionar que mi equipo es
OpenSuse 10.1 y uso Firefox y no tengo instlada ninguna hotbar.
Pensando en un caso remoto de que esto pudiese ser verdad, actualice
mi firefox a la version 2.0, pero investigando más al respecto, no
econtre registro alguna en la internet que hable de que esto pueda
estar presentandose en los quipos linux.

mmmm.. los IDS, igual que los antivirus trabajan en base a firmas..  y
puede que un programa envie por la red datos que coincidan con una de
las firmas y el IDS lo identificara como problema... un caso reciente
es que hace unas horas mire un reportaje sobre un antivirus que en sus
firmas incluia a 2 archivos vitales de windows como virus y os ponia
en quarentena.. la persona reiniciaba y dejaba de funcionar el
windows.

en resumen: se en mi IDS, tengo una firma que indica que los ataques
smtp llevan en su cabecera el patron:
"sako23coqqe,vha234,ca0853ddaiuv4" y se envio esta misma cadena en un
texto para un amigo por correo.. el ids acusara que mi correo es un
ataque... Obs.: he visto IDs que eran muy malos.. y que en el caso de
arriba consideraba todo el trafico que contenia la cadena como un
ataque SMTP (por ejemplo) idenpendente del puerto de orgien/destino o
protocolo.

salu2

--
--
Victor Hugo dos Santos
Linux Counter #224399
---------------------------------------------------------------------
Para dar de baja la suscripción, mande un mensaje a:
  opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
  opensuse-es+help@xxxxxxxxxxxx

< Previous Next >