[opensuse-es] Servidor SMTP generando tráfico malicioso
Buenas Tardes. Les escribo debido a que tengo un problema con mi servidor de correo electronico y ya tengo tiempo sin poder encontrar la falla. Se trata de lo siguiente, el Instituto de Ingeniería acaba de poner en evaluación en equipo detector de intrusos llamado tippingpoint el cual esta clasificando el tráfico de mi smtp como malicioso con el siguiente mensaje de error. 1924: SMTP: From: Header Parseaddr Buffer Overflow La verdad no se que se deba, lo extraño aqui es que unos días marca ese error, otros días no... Esto es lo que utilizo en mi servidor con SuSE Linux Enterprise Server 9.0 postfix-2.1 + Amavisd-new amavisd-new-20030616p9 + clamav 88.7 + Mail-SpamAssassin-3.1..7 y como correo web OpenWebmail 2.52 Qué me aconsejan para localizar la falla y poder solucionarla ¿? Muchisimas gracias por su atención. Saludos -- Instituto de Ingeniería de la UNAM Coordinación de Sistemas de Cómputo Área de Sistemas Unix/Linux --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 24/05/2007 17:25:36 Instituto de Ingenieria Área de Sistemas Unix/Linux escribió: unix.iingen> 1924: SMTP: From: Header Parseaddr Buffer Overflow unix.iingen> Server 9.0 postfix-2.1 + Amavisd-new amavisd-new-20030616p9 + clamav Aparentemente está detectando una antigua vulnerabilidad que afectaba a SENDMAIL y mediante la cual se podían conseguir privilegios de root en la máquina atacada. La vulnerabilidad se basaba en un campo "header" del correo electrónico con una construcción especial que al ser recibido por sendmail permitia escalar privilegios en la máquina y llegar a ejecutar comandos como root. unix.iingen> Qué me aconsejan para localizar la falla y poder solucionarla ¿? Hay que analizar las cabeceras de algunos de los mensajes que provocan el positivo. Es decir si casan con la firma del "exploit" en todo o solo en parte. Lo más probable es que se trate de falsos positivos del programa experimental. Si los positivos son verdaderos, entonces realmente hay un problema ya que un "exploit" se ha colado en el sistema. Pero eso tendría que haber ido acompañado de otros síntomas, tal como el incremento de las devoluciones de mensajes remitidos a correos inexistentes y, en general, un incremento significativo del correo saliente. -- Saludos, Josep M. Queralt
Ojo, los equipos TippingPoint son IPS de 3Com. Son muy buenos, pero según
como esten configurados puede tener muchos falsos positivos !!!
Saludos.
"Instituto de Ingenieria Área de Sistemas Unix/Linux"
El 24/05/07, Instituto de Ingenieria Área de Sistemas Unix/Linux escribió:
1924: SMTP: From: Header Parseaddr Buffer Overflow
Qué me aconsejan para localizar la falla y poder solucionarla ¿?
Lo mejor sería que te pusieras en contacto con el soporte técnico de ese "bicho" y les comentes la situación. Seguramente no serás el primero al que le pase :-): http://www.tippingpoint.com/support.html Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Instituto de Ingenieria Área de Sistemas Unix/Linux escribió:
Buenas Tardes.
Les escribo debido a que tengo un problema con mi servidor de correo electronico y ya tengo tiempo sin poder encontrar la falla.
Se trata de lo siguiente, el Instituto de Ingeniería acaba de poner en evaluación en equipo detector de intrusos llamado tippingpoint el cual esta clasificando el tráfico de mi smtp como malicioso con el siguiente mensaje de error.
1924: SMTP: From: Header Parseaddr Buffer Overflow La verdad no se que se deba, lo extraño aqui es que unos días marca ese error, otros días no...
Esto es lo que utilizo en mi servidor con SuSE Linux Enterprise Server 9.0 postfix-2.1 + Amavisd-new amavisd-new-20030616p9 + clamav 88.7 + Mail-SpamAssassin-3.1..7 y como correo web OpenWebmail 2.52
Qué me aconsejan para localizar la falla y poder solucionarla ¿?
Muchisimas gracias por su atención.
Saludos
Tendrás que mirar la información del Typping Point. Me da la sensación que el Typping Point detecta que tu server tiene una vulnerabilidad y te está protegiendo. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Primero que nada, gracias por las respuestas.
Si los positivos son verdaderos, entonces realmente hay un problema ya que un "exploit" se ha colado en el sistema. Pero eso tendría que haber ido acompañado de otros síntomas, tal como el incremento de las devoluciones de mensajes remitidos a correos inexistentes y, en general, un incremento significativo del correo saliente.
En cuanto a que mi equipo tenga un exploit, es poco probable debido a que no tengo sintomas de rechazo de correo, mensajes atascados, el funcionamiento es normal. Digo no esta de mas que le ejecute un nessus, pero poniendome a pensar, quien sabe si el nessus detecte un exploit dentro del postfix.
Ojo, los equipos TippingPoint son IPS de 3Com. Son muy buenos, pero según como esten configurados puede tener muchos falsos positivos !!!
En mi opinion, la falla puede estar por aqui, ya que el día de ayer me reportaron que mi computadora personal estaba infectada con un spyware llamado "hotbar bowser comunication", cabe mencionar que mi equipo es OpenSuse 10.1 y uso Firefox y no tengo instlada ninguna hotbar. Pensando en un caso remoto de que esto pudiese ser verdad, actualice mi firefox a la version 2.0, pero investigando más al respecto, no econtre registro alguna en la internet que hable de que esto pueda estar presentandose en los quipos linux.
Lo mejor sería que te pusieras en contacto con el soporte técnico de ese "bicho" y les comentes la situación. Seguramente no serás el primero al que le pase :-):
Yo creo, que esta es otra alternativa, que los administradores que implementaron el tippingpoint dentro de mi institución, soliciten el soporte técnico de la compañia y darles a conocer este caso.
Tendrás que mirar la información del Typping Point. Me da la sensación que el Typping Point detecta que tu server tiene una vulnerabilidad y te está protegiendo.
Estaba pensando que el tipping, solo funcionaba como analizador de
tráfico, ya que cuando detecta que se envian cierto nùmero de mensajes
con esta característica, este me bloquea de forma automatica y mi smpt
se queda sin enviar mensajes a la internet.
Esta pensando en la posiblidad de instalar un snort en otra
computadora y analizar el trafico de mi servidor de corroe, penando en
la posibilidad de que esta regla también la tenga snort, y poder
demostrar con ellos si mi server enta enviando tráfico malicioso o no.
Cabe señalar que tengo software común, y me da la impresión que si
esto es cierto, muchos servers estrían callendo en alertar para
equipos tippingpoint.
Seguire envestigando al respecto.
Saludos.
On 5/24/07, Luis O.
Instituto de Ingenieria Área de Sistemas Unix/Linux escribió:
Buenas Tardes.
Les escribo debido a que tengo un problema con mi servidor de correo electronico y ya tengo tiempo sin poder encontrar la falla.
Se trata de lo siguiente, el Instituto de Ingeniería acaba de poner en evaluación en equipo detector de intrusos llamado tippingpoint el cual esta clasificando el tráfico de mi smtp como malicioso con el siguiente mensaje de error.
1924: SMTP: From: Header Parseaddr Buffer Overflow La verdad no se que se deba, lo extraño aqui es que unos días marca ese error, otros días no...
Esto es lo que utilizo en mi servidor con SuSE Linux Enterprise Server 9.0 postfix-2.1 + Amavisd-new amavisd-new-20030616p9 + clamav 88.7 + Mail-SpamAssassin-3.1..7 y como correo web OpenWebmail 2.52
Qué me aconsejan para localizar la falla y poder solucionarla ¿?
Muchisimas gracias por su atención.
Saludos
Tendrás que mirar la información del Typping Point. Me da la sensación que el Typping Point detecta que tu server tiene una vulnerabilidad y te está protegiendo. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Instituto de Ingeniería de la UNAM Coordinación de Sistemas de Cómputo Área de Sistemas Unix/Linux --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-05-24 a las 17:51 -0500, Instituto de Ingenieria Área de Sistemas...: ...
Estaba pensando que el tipping, solo funcionaba como analizador de tráfico, ya que cuando detecta que se envian cierto nùmero de mensajes con esta característica, este me bloquea de forma automatica y mi smpt se queda sin enviar mensajes a la internet.
¿Te corta el envío de emails? Entonces lo que pasa es que el chisme ese piensa que tu servidor smtp está atacando a otros usando ese agujero del sendmail (que no tienes). A lo mejor hay que configurarlo diciendole cual es el servidor de correo del dominio y que no se le puede bloquear en ningún caso. Que no eres un currito enviando correos secretos con un XP. Que la gente que ha instalado eso se ponga en contacto con el soporte del trasto ese y se enteren y hagan un curso o lo que haga falta, y que te den los mensajes de error mascaditos y explicados, que no te mareen con tonterías. Que te digan directamente que fallo es el que piensan que tiene tu servidor. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGVh6ttTMYHG2NR9URAlFwAJ9td/GDUPoKFUGG/4WPSajfDpeiyACeLtWc cDwCznEzZJQUOyDrj7A550U= =QpQV -----END PGP SIGNATURE-----
El 25/05/2007 1:24:19 Carlos E. R. escribió: robin.listas> robin.listas> ¿Te corta el envío de emails? Entonces lo que pasa es que el chisme ese robin.listas> piensa que tu servidor smtp está atacando a otros usando ese agujero del robin.listas> sendmail (que no tienes). A lo mejor hay que configurarlo diciendole cual robin.listas> es el servidor de correo del dominio y que no se le puede bloquear en robin.listas> ningún caso. Que no eres un currito enviando correos secretos con un XP. No creo. Para atacar a SendMails vulnerables no es necesario que él lo tenga instalado. Solo hay que mandar los correos con el "header" malicioso y esperar a encontrar un SendMail antiguo que tenga el "bug", como por ejemplo equipos con las versiones 9.x de SuSE, y que se lo "trague". Por eso yo proponía que capturara alguno de estos correos que provocaban el positivo y analizara si el "header" malicioso coincide con la "firma" del "exploit" exactamente o solo en parte. Si la firma es exacta, entonces alguien (humano o no) que tiene acceso a enviar correo está mandando el mensaje malicioso. Por las demás cabeceras del correo y el log de sendmail puede verse desde donde se produce el ataque. Si la firma solo coincide en parte, se trata de un falso positivo. Ya que además el programa en cuestión le para el servidor SMTP, no tiene dificultad el hacerse con unos cuantos correos de la cola de mensajes y analizarlos con la lupa. :-) -- Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-05-25 a las 09:59 +0200, Josep M. Queralt escribió:
El 25/05/2007 1:24:19 Carlos E. R. escribió:
robin.listas> robin.listas> ¿Te corta el envío de emails? Entonces lo que pasa es que el chisme ese robin.listas> piensa que tu servidor smtp está atacando a otros usando ese agujero del robin.listas> sendmail (que no tienes). A lo mejor hay que configurarlo diciendole cual robin.listas> es el servidor de correo del dominio y que no se le puede bloquear en robin.listas> ningún caso. Que no eres un currito enviando correos secretos con un XP.
No creo. Para atacar a SendMails vulnerables no es necesario que él lo tenga instalado. Solo hay que mandar los correos con el "header" malicioso y esperar a encontrar un SendMail antiguo que tenga el "bug", como por ejemplo equipos con las versiones 9.x de SuSE, y que se lo "trague".
Pues eso es lo que digo, precisamente >;-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGVrkCtTMYHG2NR9URAq09AJ4t/Dowsd1rJSmRsa0eJdEGPf+p+QCfa9Ol 2bR2pg4TNIFEcq91Kca+OY4= =xH7Z -----END PGP SIGNATURE-----
El 24/05/07, Instituto de Ingenieria Área de Sistemas Unix/Linux
Primero que nada, gracias por las respuestas.
Si los positivos son verdaderos, entonces realmente hay un problema ya que un "exploit" se ha colado en el sistema. Pero eso tendría que haber ido acompañado de otros síntomas, tal como el incremento de las devoluciones de mensajes remitidos a correos inexistentes y, en general, un incremento significativo del correo saliente.
En cuanto a que mi equipo tenga un exploit, es poco probable debido a que no tengo sintomas de rechazo de correo, mensajes atascados, el funcionamiento es normal.
un exploit puede echar abajo el sistema, pero tambien puede permitir el acceso externo o la ejecuccion de codigos maliciosos en vuestra computadora sin que usted se entere !!!
Digo no esta de mas que le ejecute un nessus, pero poniendome a pensar, quien sabe si el nessus detecte un exploit dentro del postfix.
nessus es un analizador de vunerabilidad, que simplesmente se conecta a los puertos abiertos y verifica la version de los programas que estan funcionando y los compara con su base de dados.. caso existan exploits/problemas para esta version, te avisa. pero en algunas veces, algunas distros liberan parches para problemas conocidos sin alterar la version del producto.. por ejemplo: apache-2.0.42.rpm apache-2.0.42_01.rpm para el gestor de paquetes RPM hay una diferencia entre las dos.. pero posiblemente el ejecutable aun tendra como version la apache-2.0.42 y esto para nessus ya seria un programa suceptible a fallos. en resumen: nessus (igual que otros) es un programa bueno que sirve como guia base para ver los problemas.. pero no se puede considerar los resultados como reales... despues de aplicar nessus, y ver los problemas que menciona se debe de aplicar herramentas mas especificas para cada producto como por ejemplo, nikto para http.
Ojo, los equipos TippingPoint son IPS de 3Com. Son muy buenos, pero según como esten configurados puede tener muchos falsos positivos !!!
En mi opinion, la falla puede estar por aqui, ya que el día de ayer me reportaron que mi computadora personal estaba infectada con un spyware llamado "hotbar bowser comunication", cabe mencionar que mi equipo es OpenSuse 10.1 y uso Firefox y no tengo instlada ninguna hotbar. Pensando en un caso remoto de que esto pudiese ser verdad, actualice mi firefox a la version 2.0, pero investigando más al respecto, no econtre registro alguna en la internet que hable de que esto pueda estar presentandose en los quipos linux.
mmmm.. los IDS, igual que los antivirus trabajan en base a firmas.. y puede que un programa envie por la red datos que coincidan con una de las firmas y el IDS lo identificara como problema... un caso reciente es que hace unas horas mire un reportaje sobre un antivirus que en sus firmas incluia a 2 archivos vitales de windows como virus y os ponia en quarentena.. la persona reiniciaba y dejaba de funcionar el windows. en resumen: se en mi IDS, tengo una firma que indica que los ataques smtp llevan en su cabecera el patron: "sako23coqqe,vha234,ca0853ddaiuv4" y se envio esta misma cadena en un texto para un amigo por correo.. el ids acusara que mi correo es un ataque... Obs.: he visto IDs que eran muy malos.. y que en el caso de arriba consideraba todo el trafico que contenia la cadena como un ataque SMTP (por ejemplo) idenpendente del puerto de orgien/destino o protocolo. salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (7)
-
Camaleón
-
Carlos E. R.
-
Instituto de Ingenieria Área de Sistemas Unix/Linux
-
Josep M. Queralt
-
Lucas Etchezuri
-
Luis O.
-
Victor Hugo dos Santos