Primero que nada, gracias por las respuestas.
Si los positivos son verdaderos, entonces realmente hay un problema ya que un "exploit" se ha colado en el sistema. Pero eso tendría que haber ido acompañado de otros síntomas, tal como el incremento de las devoluciones de mensajes remitidos a correos inexistentes y, en general, un incremento significativo del correo saliente.
En cuanto a que mi equipo tenga un exploit, es poco probable debido a que no tengo sintomas de rechazo de correo, mensajes atascados, el funcionamiento es normal. Digo no esta de mas que le ejecute un nessus, pero poniendome a pensar, quien sabe si el nessus detecte un exploit dentro del postfix.
Ojo, los equipos TippingPoint son IPS de 3Com. Son muy buenos, pero según como esten configurados puede tener muchos falsos positivos !!!
En mi opinion, la falla puede estar por aqui, ya que el día de ayer me reportaron que mi computadora personal estaba infectada con un spyware llamado "hotbar bowser comunication", cabe mencionar que mi equipo es OpenSuse 10.1 y uso Firefox y no tengo instlada ninguna hotbar. Pensando en un caso remoto de que esto pudiese ser verdad, actualice mi firefox a la version 2.0, pero investigando más al respecto, no econtre registro alguna en la internet que hable de que esto pueda estar presentandose en los quipos linux.
Lo mejor sería que te pusieras en contacto con el soporte técnico de ese "bicho" y les comentes la situación. Seguramente no serás el primero al que le pase :-):
Yo creo, que esta es otra alternativa, que los administradores que implementaron el tippingpoint dentro de mi institución, soliciten el soporte técnico de la compañia y darles a conocer este caso.
Tendrás que mirar la información del Typping Point. Me da la sensación que el Typping Point detecta que tu server tiene una vulnerabilidad y te está protegiendo.
Estaba pensando que el tipping, solo funcionaba como analizador de
tráfico, ya que cuando detecta que se envian cierto nùmero de mensajes
con esta característica, este me bloquea de forma automatica y mi smpt
se queda sin enviar mensajes a la internet.
Esta pensando en la posiblidad de instalar un snort en otra
computadora y analizar el trafico de mi servidor de corroe, penando en
la posibilidad de que esta regla también la tenga snort, y poder
demostrar con ellos si mi server enta enviando tráfico malicioso o no.
Cabe señalar que tengo software común, y me da la impresión que si
esto es cierto, muchos servers estrían callendo en alertar para
equipos tippingpoint.
Seguire envestigando al respecto.
Saludos.
On 5/24/07, Luis O.
Instituto de Ingenieria Área de Sistemas Unix/Linux escribió:
Buenas Tardes.
Les escribo debido a que tengo un problema con mi servidor de correo electronico y ya tengo tiempo sin poder encontrar la falla.
Se trata de lo siguiente, el Instituto de Ingeniería acaba de poner en evaluación en equipo detector de intrusos llamado tippingpoint el cual esta clasificando el tráfico de mi smtp como malicioso con el siguiente mensaje de error.
1924: SMTP: From: Header Parseaddr Buffer Overflow La verdad no se que se deba, lo extraño aqui es que unos días marca ese error, otros días no...
Esto es lo que utilizo en mi servidor con SuSE Linux Enterprise Server 9.0 postfix-2.1 + Amavisd-new amavisd-new-20030616p9 + clamav 88.7 + Mail-SpamAssassin-3.1..7 y como correo web OpenWebmail 2.52
Qué me aconsejan para localizar la falla y poder solucionarla ¿?
Muchisimas gracias por su atención.
Saludos
Tendrás que mirar la información del Typping Point. Me da la sensación que el Typping Point detecta que tu server tiene una vulnerabilidad y te está protegiendo. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Instituto de Ingeniería de la UNAM Coordinación de Sistemas de Cómputo Área de Sistemas Unix/Linux --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org