[Postfix-es] Ataque a Apache o Postfix

David González Romero dgrvedado en gmail.com
Lun Ago 15 20:26:46 CEST 2005 

Hola gente!!

Bueno al parecer he sido victima de algun ataque DoS o que me quieren
utilizar como SPAMER. Desde el viernes en las utimas horas de la noche
estuve viendo en mi mrtg que hay una salida/entrada constante de mi
servidor. Me puse a investigar y encuentro que hay casi 42mil y tantos
correos que estan en espera de entregar enviados desde el
localhots.localdomain con el usuario apache hacia diferentes
direcciones de correo. Un trozo del log del servidor de correo:

Aug 11 23:12:07 necronomicom postfix/pickup[16850]: 24B6B2B11E: uid=48
from=<apache>
Aug 11 23:12:07 necronomicom postfix/cleanup[16914]: 24B6B2B11E:
message-id=<20050812031207.24B6B2B11E en mx2.snap.co.cu>
Aug 11 23:12:07 necronomicom postfix/nqmgr[31398]: 1A9CF2B11C:
from=<apache en snap.co.cu>, size=3770, nrcpt=1 (queue active)
Aug 11 23:12:07 necronomicom postfix/nqmgr[31398]: 24B6B2B11E:
from=<apache en snap.co.cu>, size=3440, nrcpt=1 (queue active)
Aug 11 23:12:07 necronomicom amavis[15935]: (15935-08) Passed SPAM,
<apache en snap.co.cu> -> <allisson21 en uol.com.br>, quaranti
ne: spam-3c3ed30c487ec1b3a9e2b9ecd258fb65-20050811-231207-15935-08,
Message-ID: <20050812031201.7EDBE2B01B en mx2.snap.co.cu>,
Hits: 9.85, 123 ms
Aug 11 23:12:07 necronomicom postfix/smtpd[17018]: disconnect from
localhost.localdomain[127.0.0.1]

O sea que se esta generando ese correo de forma local en ese server y
eso es que han utilizado alguna vulnerabilidad de Apache o Postfix. Ya
mi sistema esta actualizado con el YUM y las ultimas actualizaciones
de seguridad de CentOS hasta el dia sabado precisamente, aunque no fue
hasta hoy que hice el yum update respectivo. Al parecer debe ser
Apache porque he bajado el demonio de httpd y el trafico cayo, aunque
esos correo estan en cola y tendre que borrarlos a mano, hay algun
comando para borrar esos correos que no sea uno por uno en
/var/postfix....??

Yo no he chequeado mas a fondo ahora estudiare el log de apache a ver
que paso porque al bajarlo e intentar subirlo de nuevo me da FAILED o
sea algun bateo debe haber pro parte de alguien o algo en mi server.
Si alguno me da alguna oreintacion sera de mucha ayuda.

Saludos,
David

Más información sobre la lista de distribución Postfix-es