identificando invasão

1. identificando invasão

Daniel
hpvoltage

(usa Debian)

Enviado em 26/01/2008 - 20:09h

pessoal,
ontem pela tarde, meu servidor web debian etch kernel 2.6.18-5-686 (apache 1.3) c/ o sendmail instalado apresentou Kernel Panic. Estou suspeitando que ele foi invadido, pois ao dar um tail -f no /var/log/syslog retorna a mensagem;

Jan 25 17:40:18 server-web sm-msp-queue[4743]: m0KJK1Ot018605: to=postmaster, delay=5+00:15:23, xdelay=00:00:00, mailer=relay, pri=30284064, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Jan 25 17:40:18 server-web sm-msp-queue[4743]: m0KJK1Ot018605: m0PJe1f3004743: return to sender: Cannot send message for 5 days
Jan 25 17:40:18 server-web sm-msp-queue[4743]: m0PJe1f3004743: to=postmaster, delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=45631, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Jan 25 17:40:18 server-web sm-msp-queue[4743]: m0KJK1Os018605: m0PJe1f2004743: return to sender: Cannot send message for 5 days
Jan 25 17:40:18 server-web sm-msp-queue[4743]: m0PJe1f2004743: to=www-data, delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=44075, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Jan 25 17:40:19 server-web sm-msp-queue[4743]: m0KJK1Ot018605: to=www-data, delay=5+00:15:23, xdelay=00:00:00, mailer=relay, pri=30284064, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Jan 25 17:40:19 server-web sm-msp-queue[4743]: m0KJK1Ot018605: m0PJe1f3004743: return to sender: Cannot send message for 5 days
Jan 25 17:40:19 server-web sm-msp-queue[4743]: m0PJe1f3004743: to=www-data, delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=45631, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Acho estranho o fato, pois sao inúmeras tentativas sempre nos mesmos minutos de cada hora (essas mensagens dão as 13:40, 14:40, 15:40....) num intervalo muito pequeno de alguns segundos, normalmente inúmeras tentativas em 50 segundos.

Peço ajuda, pois não estou conseguindo identificar o processo que esta fazendo essas tentativas de envio de e-mail e eliminar as possibilidades de invasão.

Desde já agradeço a atenção


  


2. Re: identificando invasão

Marcelo Cavalcante Rocha
kalib

(usa Arch Linux)

Enviado em 26/01/2008 - 22:49h

Já verificou os logs por exemplo do ssh?
Seria a primeira coisa q eu tentaria na dúvida de uma invasão...


3. logs ssh

Daniel
hpvoltage

(usa Debian)

Enviado em 27/01/2008 - 17:58h

kalib, antes de mais nada, grato pela atenção.

verifiquei sim os logs do ssh e nada diferente foi identificado. Nesse servidor, o ssh é fechado, permitindo apenas a minha estação na minha LAN ter acesso ssh, do mais, tudo bloqueado.

por favor, se tiver mais dicas q eu possa seguir p/ identificar algo?

Abraços e muito obrigado


4. Re: identificando invasão

Marcelo Cavalcante Rocha
kalib

(usa Arch Linux)

Enviado em 27/01/2008 - 18:01h

O estranho é q os connection refused foram todos vindos do localhost... o.O
não estou entendendo o q houve aí..desculpe.. :/


5. Re: identificando invasão

Bruno Magalhães de Souza
brmagalhaes

(usa Debian)

Enviado em 27/01/2008 - 18:30h

olá amigo.. está com cara de erro do sendmail... este estava funcionando ? e nos log isso acontecia sempre ? a todo o instante ?

veja os erros tb em /var/log/mail.log

andei lendo algumas coisas e talvez vc precise modificar o seu hostname pois 'localhost.localdomain' (127.0.0.1) será rejeitado por mtos servidores de email..

veja o link com a solução:
http://ubuntuforums.org/showthread.php?t=623977

[]'s
slk


6. sendmail sux

Anderson L Tamborim
y2h4ck

(usa Suse)

Enviado em 29/01/2008 - 10:12h

Isso não é invasão não... isso é sendmail bixado mesmo.



7. Re: identificando invasão

Denilson Martins
denilsoneskas

(usa Ubuntu)

Enviado em 29/01/2008 - 10:37h

baixa uma nova versao do sendmail.....


8. ataque

Fernandino Mesquita e Silva
FireBird

(usa Debian)

Enviado em 29/01/2008 - 12:05h

isso nao é ataque nao...

pra vc ver as "coisas" que ocorrem no kernel, recomendo usar o syslog-ng(nova "era" do syslog...ele é mais completo), e as mensagens que vao pro kernel, estao em /var/log/messages...

isso ai nao parece ser ataque nao cara... como o amigo acima ai disse, deu zica foi no sendmail mesmo


9. Agradecimentos

Daniel
hpvoltage

(usa Debian)

Enviado em 07/02/2008 - 08:58h

Pessoal,

muito grato pela atenção dispensada. Até o momento, meu Servidor Web esta no ar e nada de anormal esta ocorrendo, realmente foi só um susto.

Informo que nesse servidor, existe sim o Sendmail instalado, só que não esta configurado.

Uma coisa que identifiquei, foi que em um dos websites havia uma newsletter que usava o sendmaill para enviar os e-mails, quando vi a fila de e-mail estava com mais de 3000 mensagens. Removi toda a fila, e tudo esta OK.

Mais uma vez grato ao auxilio de todas, todas informações foram válidas.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts