[postfix-es] Resumen de postfix-es, Vol 95, Envío 4
Jose Pablo Rojas
jrcarranza en gmail.com
Lun Oct 8 17:35:40 CEST 2012
En lo personal, me sucedió una ocasión que por medio de una versión
vieja de joomla, comprometieron el sistema, esto ingresando por medio
del administrador del mismo joomla y colocando archivos php que abrían
un puerto para conexiones remotas, luego de esto se conectaban al
server y colocaban scripts y con eso enviaban el spam desde 127.0.0.1
Cual fue la solución:
revisar los procesos que estaban corriendo, habían unos llamados ./ssh
y eran cientos, estos eran los que abrían los puertos, también
encontrar los archivos falsos del sitio joomla, generalmente estaban o
en la raíz del sitio, o tenían carpetas con nombres significativos, y
por último una buena implementación de iptables, que no permitiese
puertos que no son necesarios, además de permitir conexiones ssh de
solo ciertas direcciones ip.
Una recomendación tambien puede ser utilizar ssh desde un puerto
diferente al 22.
Saludos y espero les sirva la info.
El día 6 de octubre de 2012 05:27, Xavier Mauricio Tirado Luna
<xaviertirado en hotmail.com> escribió:
> Lo que me sucedió en una ocasión es que la clave de usuarios era muy
> sencilla, muy simple y muy típica. Que fue lo que me ayudó, una base de
> datos de las cuentas, el registro de autenticación atestiguaba conexiones de
> otras partes.
>
> En ese sistema lo que hacían era incluso uso de la interfaz web, así es como
> te dabas cuenta de que la conexión estaba vulnerada en su clave! junto al
> registro de envíos a direcciones que no tenían nada que ver con el rol del
> negocio sin obviar desde luego que eran cantidades ingentes.
>
> Finalmente la solución, obligar a colocar claves complejas(políticas
> internas).
>
>
>
> Atentamente,
>
> Xavier Mauricio Tirado L.
> Software Libre, Infraestructura,
> Comunicaciones y Seguridad IT
> Telf.: (593)+9 568 57 66
>
>
> From: postfix-es-request en lists.wl0.org
> Subject: Resumen de postfix-es, Vol 95, Envío 4
> To: postfix-es en lists.wl0.org
> Date: Sat, 6 Oct 2012 12:00:02 +0200
>
> Envíe los mensajes para la lista postfix-es a
> postfix-es en lists.wl0.org
>
> Para subscribirse o anular su subscripción a través de la WEB
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
> O por correo electrónico, enviando un mensaje con el texto "help" en
> el asunto (subject) o en el cuerpo a:
> postfix-es-request en lists.wl0.org
>
> Puede contactar con el responsable de la lista escribiendo a:
> postfix-es-owner en lists.wl0.org
>
> Si responde a algún contenido de este mensaje, por favor, edite la
> linea del asunto (subject) para que el texto sea mas especifico que:
> "Re: Contents of postfix-es digest...". Además, por favor, incluya en
> la respuesta sólo aquellas partes del mensaje a las que está
> respondiendo.
>
>
>
> --Forwarded Message Attachment--
> From: zavaleta_angel en hotmail.com
> To: postfix-es en lists.wl0.org
> Date: Fri, 5 Oct 2012 13:53:55 +0000
> Subject: Re: [postfix-es] Resumen de postfix-es, Vol 95, Envío 3
>
> Pues creo que lejos de saber que hay miles de formas de que puedan ingresar
> a tu servidor de correo y mandar spam, lo importante sería que nos dijeras
> si hay miles de formas de proteger el servidor y cuales son para poder
> implementarlas, creo que tu comentario no aporta nada nuevo, yo tengo un
> servidor de pruebas y me interesaría saber que medidas tomar e implementar
> para que no me pase esto.
>
> Salu2!!
>
>> From: postfix-es-request en lists.wl0.org
>> Subject: Resumen de postfix-es, Vol 95, Envío 3
>> To: postfix-es en lists.wl0.org
>> Date: Fri, 5 Oct 2012 12:00:02 +0200
>>
>> Envíe los mensajes para la lista postfix-es a
>> postfix-es en lists.wl0.org
>>
>> Para subscribirse o anular su subscripción a través de la WEB
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>> O por correo electrónico, enviando un mensaje con el texto "help" en
>> el asunto (subject) o en el cuerpo a:
>> postfix-es-request en lists.wl0.org
>>
>> Puede contactar con el responsable de la lista escribiendo a:
>> postfix-es-owner en lists.wl0.org
>>
>> Si responde a algún contenido de este mensaje, por favor, edite la
>> linea del asunto (subject) para que el texto sea mas especifico que:
>> "Re: Contents of postfix-es digest...". Además, por favor, incluya en
>> la respuesta sólo aquellas partes del mensaje a las que está
>> respondiendo.
>>
>>
>> Asuntos del día:
>>
>> 1. Re: utilizan el metodo de local host para hacer Spam
>> (Federico Alberto Sayd)
>>
>>
>> ----------------------------------------------------------------------
>>
>> Message: 1
>> Date: Thu, 04 Oct 2012 10:17:11 -0300
>> From: Federico Alberto Sayd <fsayd en uncu.edu.ar>
>> To: postfix-es en lists.wl0.org
>> Subject: Re: [postfix-es] utilizan el metodo de local host para hacer
>> Spam
>> Message-ID: <506D8C57.7080607 en uncu.edu.ar>
>> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>>
>> On 04/10/12 05:29, Iñaki Rodríguez wrote:
>> > Buenas,
>> >
>> > recibir spam desde localhost nunca es una buena señal. Muy posiblemente
>> > han comprometido tu servidor o alguna de las webs que alojas.
>> >
>> > Saludos
>> >
>> > Iñaki
>> >
>> > El 04/10/2012 7:39, Hans Suruy escribió:
>> >> Hola Compañeros tengo problema que me hacen spam en mi server y el
>> >> problema es que utilizan el localhost o el 127.0.0.1 para enviar el
>> >> correo , podría alguien ayudarme a evitar eso
>> >>
>> >>
>> >>
>> >> Les envio un segmento de mi main.cf
>> >>
>> >>
>> >>
>> >> broken_sasl_auth_clients = yes
>> >>
>> >> smtpd_sasl_auth_enable = yes
>> >>
>> >> smtpd_sasl_security_options = noanonymous
>> >>
>> >> smtpd_sasl_local_domain = $mydomain
>> >>
>> >>
>> >>
>> >> # Encryption with TLS
>> >>
>> >> # smtpd_tls_auth_only = yes
>> >>
>> >> smtpd_use_tls = yes
>> >>
>> >> smtpd_tls_cert_file = /etc/postfix/cert.pem
>> >>
>> >> smtpd_tls_key_file = /etc/postfix/key.pem
>> >>
>> >> smtpd_tls_loglevel = 1
>> >>
>> >>
>> >>
>> >> # Mail restrictions (note: Kolab policies are not implemented)
>> >>
>> >> #smtpd_recipient_restrictions = permit_sasl_authenticated,
>> >> permit_mynetworks, reject_unauth_destination, check_policy_service
>> >> unix:/var/spool/postfix/postgrey/socket
>> >>
>> >> #kolabpolicy_time_limit = 3600
>> >>
>> >> # kolabpolicy_max_idle = 20
>> >>
>> >>
>> >>
>> >> smtpd_recipient_restrictions = reject_invalid_hostname,
>> >> reject_unknown_recipient_domain, reject_unauth_pipelining,
>> >> permit_mynetworks, permit_sasl_authenticated, reject_unauth_d
>> >>
>> >> nation, reject_rbl_client multi.uribl.com, reject_rbl_client
>> >> dsn.rfc-ignorant.org, reject_rbl_client dul.dnsbl.sorbs.net,
>> >> reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_clibl.spamcop.net,
>> >> reject_rbl_client dnsbl.sorbs.net, reject_rbl_client cbl.abuseat.org,
>> >> reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client
>> >> combined.rbl.msrbl.net, reject_rbient rabl.nuclearelephant.com,
>> >> check_policy_service unix:/var/spool/postfix/postgrey/socket,
>> >> check_client_access hash:/etc/postfix/blacklist, check_sender_access
>> >> hash:/etc/postfix/blacklist, permit
>> >>
>> >>
>> >>
>> >>
>> >>
>> >>
>> >>
>> >> # Mail routing
>> >>
>> >> mailbox_transport = mailpostfilter
>> >>
>> >> content_filter = mailprefilter
>> >>
>> >> transport_maps = hash:/etc/postfix/transport
>> >>
>> >>
>> >>
>> >> # Outbound SMTP authentication
>> >>
>> >> # smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
>> >>
>> >> # smtp_sasl_auth_enable = yes
>> >>
>> >> # smtp_sasl_security_options =
>> >>
>> >> unknown_local_recipient_reject_code = 550
>> >>
>> >> relay_domains = $mydestination, bcoinmob.com.gt
>> >>
>> >> # relay_domains = mail.bcoinmob.com.gt
>> >>
>> >> ##relayhost =
>> >>
>> >> local_recipient_maps = proxy:unix:passwd.byname $alias_maps
>> >>
>> >> relayhost =
>> >>
>> >>
>> >>
>> >> smtpd_helo_required = yes
>> >>
>> >> disable_vrfy_command = yes
>> >>
>> >> strict_rfc821_envelopes = yes
>> >>
>> >> invalid_hostname_reject_code = 554
>> >>
>> >> multi_recipient_bounce_reject_code = 554
>> >>
>> >> non_fqdn_reject_code = 554
>> >>
>> >> relay_domains_reject_code = 554
>> >>
>> >> unknown_address_reject_code = 554
>> >>
>> >> unknown_client_reject_code = 554
>> >>
>> >> unknown_hostname_reject_code = 554
>> >>
>> >> unknown_local_recipient_reject_code = 554
>> >>
>> >> unknown_relay_recipient_reject_code = 554
>> >>
>> >> unknown_sender_reject_code = 554
>> >>
>> >> unknown_virtual_alias_reject_code = 554
>> >>
>> >> unknown_virtual_mailbox_reject_code = 554
>> >>
>> >> unverified_recipient_reject_code = 554
>> >>
>> >> unverified_sender_reject_code = 554
>> >>
>> >>
>> >>
>> >> Descripción: picasso
>> >>
>> >>
>> >>
>> >>
>> >>
>> >> _______________________________________________
>> >> List de correo postfix-es para tratar temas del MTA postfix en español
>> >> postfix-es en lists.wl0.org
>> >> http://lists.wl0.org/mailman/listinfo/postfix-es
>> > _______________________________________________
>> > List de correo postfix-es para tratar temas del MTA postfix en español
>> > postfix-es en lists.wl0.org
>> > http://lists.wl0.org/mailman/listinfo/postfix-es
>> >
>> Hay miles de formas de que alguien pueda enviar correo desde localhost.
>> Si lo que está saliendo es spam, lo más seguro es que hayan comprometido
>> la seguridad de tu servidor. Puede tratarse de una vulnerabilidad de tu
>> webmail (si lo usas), de que hayan logrado acceder a tu sistema y estén
>> corriendo algún programa que usa tu postfix como relay o que algún
>> usuario haya cedido sus credenciales (phishing).
>>
>> Saludos
>>
>>
>> ------------------------------
>>
>> _______________________________________________
>> postfix-es mailing list
>> postfix-es en lists.wl0.org
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>> Fin de Resumen de postfix-es, Vol 95, Envío 3
>> *********************************************
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
Más información sobre la lista de distribución postfix-es