[postfix-es] Servidor lento
José Luis Tallón
jltallon en adv-solutions.net
Jue Oct 21 18:00:27 CEST 2004
Isabel Alonso wrote:
> Muchas gracias a todos por las ideas. Estoy en ello, a ver si
> encuentro algo. Lo que mas me preocupa es que se nos halla "colado"
> alguien y el no saber que hacer para solucionarlo. Y como sería eso
> posible?
El problema es localizar si ha habido intrusión...
> Creo que el DNS está ok porque responde adecuandamente al comando
> host y al comando dig.
ok
> Por otra parte y volviendo al correo misterioso, efectivamente hay
> varios correos con el virus Netsky pero lo que no entiendo es porque
> postfix arranca desde el demonio pickup. Es como si se generase desde
> el servidor. Os envío un extracto de uno de esos correos fantasma y la
> parte del log correspondiente, en todos estos correos 'fantasma' el
> postfix arranca desde pickup.
Eso implica "inyección local"... mira más abajo
> Ni que decir tiene que no tengo ni idea de quien es
> "colemanharwood.......".
>
> Return-Path: <colemanharwood en leshiqu.approvedfreestuff.com
> <http://es.f501.mail.yahoo.com/ym/Compose?To=colemanharwood@leshiqu.approvedfreestuff.com>>
> X-Original-To: usuario en dominio.es
> <http://es.f501.mail.yahoo.com/ym/Compose?To=usuario@dominio.es>
> Delivered-To: usuario en dominio.es
> <http://es.f501.mail.yahoo.com/ym/Compose?To=usuario@dominio.es>
> Received: by hostname.dominio.es (Postfix, from userid 1529)
> id 8FA9D24C546; Thu, 23 Sep 2004 01:59:46 +0200 (CEST)
> Delivered-To: usuario2 en dominio.es
> <http://es.f501.mail.yahoo.com/ym/Compose?To=usuario2@dominio.es>
> Received: from usuario2 (unknown [99.99.999.999])
> by hostname.dominio.es (Postfix) with ESMTP id 36D812C0007
> for <usuario2 en dominio.es
> <http://es.f501.mail.yahoo.com/ym/Compose?To=usuario2@dominio.es>>;
> Tue, 20 Jan 2004 13:57:04 +0100 (CET)
> From: =?iso-8859-1?Q?Usuario?= <usuario2 en dominio.es
> <http://es.f501.mail.yahoo.com/ym/Compose?To=usuario2@dominio.es>>
> To: "myself" <usuario2 en dominio.es
> <http://es.f501.mail.yahoo.com/ym/Compose?To=usuario2@dominio.es>>
> Subject: RECORDATORIO
> Date: Tue, 20 Jan 2004 13:54:58 +0100
> Message-ID: <00a801c3df54$9c3a9e00$3401a8c0 en dominio.es
> <http://es.f501.mail.yahoo.com/ym/Compose?To=00a801c3df54$9c3a9e00$3401a8c0@dominio.es>>
> MIME-Version: 1.0
> Content-Type: multipart/alternative;
> boundary="----=_NextPart_000_00A9_01C3DF5C.FDFF0600"
> X-Priority: 3 (Normal)
> X-MSMail-Priority: Normal
> X-Mailer: Microsoft Outlook, Build 10.0.2627
> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
> Importance: Normal
> X-Spam-Checker-Version: SpamAssassin 2.63 (2004-01-11) on
> hostname.dominio.es
> X-Spam-Level:
> X-Spam-Status: No, hits=-100.0 required=5.0 tests=USER_IN_WHITELIST
> autolearn=no version=2.63
> Status: RO
> .............
>
> En el log aparece lo siguiente:
>
> Sep 23 01:59:46 hostname postfix/pickup[14776]: 8FA9D24C546: uid=1529
> from=<colemanharwood en leshiqu.approvedfreestuff.com
> <http://es.f501.mail.yahoo.com/ym/Compose?To=colemanharwood@leshiqu.approvedfreestuff.com>>
> Sep 23 01:59:46 hostname postfix/cleanup[14246]: 8FA9D24C546:
> message-id=<00a801c3df54$9c3a9e00$3401a8c0 en dominio.es
> <http://es.f501.mail.yahoo.com/ym/Compose?To=00a801c3df54$9c3a9e00$3401a8c0@dominio.es>>
> Sep 23 01:59:46 hostname postfix/qmgr[30702]: 8FA9D24C546:
> from=<colemanharwood en leshiqu.approvedfreestuff.com
> <http://es.f501.mail.yahoo.com/ym/Compose?To=colemanharwood@leshiqu.approvedfreestuff.com>>,
> size=4689, nrcpt=1 (queue active)
> Sep 23 01:59:46 hostame postfix/local[15213]: 8FA9D24C546: to=usuario
> <http://es.f501.mail.yahoo.com/ym/Compose?To=to=usuario@dominio.es>@dominio
> <http://es.f501.mail.yahoo.com/ym/Compose?To=to=usuario@dominio>.es,
> relay=local, delay=0, status=sent (mailbox)
>
Preguntas: ¿quién es el usuario con uid 1529? Usas SuExec en Apache?
Bajo qué UID corre Apache ¿CGIs? algún cliente tiene acceso shell y ha
podido poner un ejecutable? había *alguien* conectado a la 01:59:46 ?
José Luis Tallón
-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.
Más información sobre la lista de distribución Postfix-es