spam? [RESOLVIDO]

fbsalvi
(usa Outra)

Enviado em 21/09/2010 - 16:56h

Ola galera estou aqui para tirar um duvida... tenho um server linux, que faz NAT + proxy + firewall, a politica é drop pra tudo e abre o que precisa. So que o esta acontecendo é que meu ip esta caindo na blacklist da cbl e spamcop, estranho que nao tenho email server rodando nesta maquina, apenas uma maquina da minha rede tem autorizacao pra enviar e receber email... E esta maquina esta livre de pragras... Falei com meu provedor e eles informaram que meu server linux poderia estar infectado, mas estranho.. tenho certeza que nao esta, mas ainda nao consegui resolver este problema. O que fiz foi travar a porta 25 ate para meu ip valido (internet)... Gostaria de sabe se alguem ja passou por este problema, ou se tem alguma dica...

Abraços

Fabiano.

renato_pacheco
(usa Debian)

Enviado em 21/09/2010 - 17:05h

Kra, qual é o seu servidor d e-mail? O q eu acho é q o seu servidor d e-mail permite q outras pessoas possam utilizar o SMTP para envio de msgs. O lance é configurar direitim pra permitir q só pessoas autorizadas (q se autentiquem antes) possam enviar e-mails. Procure saber como configurá-lo d maneira mais segura e tente tb atualizar os pacotes com patches d segurança pra evitar brechas.

fbsalvi
(usa Outra)

Enviado em 21/09/2010 - 21:39h

Renato, é o meus emails ficam em um provedor de empresa particular,(servidor email externo), eu nao tenho um servidor de email proprio aqui dentro da empresa... bom, eu configuro o outlook para enviar e receber email deste servidor de email externo... Entao eu tb to achando estranho que seja meu server linux, que nao é um servidor de email, correto, ele apenar roda squid, faz nat e regras com iptables (firewall), estar infectado como o pessoal do provedor me informou...

Mas blz estou monitorando o que sai pela porta 25... gerando log..

A a possibilidade de estarem usando diretamente meu server linux para fazer spam? Nao estou me referindo a nenhum host da rede interna, pois a eles a porta 25 esta tavada, somente liberada para um determinado IP e que ainda por cima esta totalmente limpo de pragas...

Oh duvida cruel.

Abraços

Fabiano.

renato_pacheco
(usa Debian)

Enviado em 21/09/2010 - 21:52h

Então dá uma olhada se o seu proxy num tá aparecendo pra fora. Pra vc testar, d um nmap em cima dele:

# nmap -A -T5 IP_EXTERNO_SUA_REDE

fbsalvi
(usa Outra)

Enviado em 22/09/2010 - 14:22h

Ola Renato, fiz o comando que vc me indicou e apareceu assim:

"HOST seems down. If it is really up, but blocking our ping probes, try -PN"

Tambem estou monitorando a porta 25 com o tcpdump na interface lo e notei o seguinte, de tempo em tempo apareceu:

#tcdump -i lo -nnn port 25 <comando que to usando para monitorar>

tcpdump: verbose output suppressed, use -v -vv for full protocol decode
listening on lo, lynk type EN10MB (ETHERNET), capture size 96 bytes

12:36:33.500536 IP 10.240.12.66.5483 > 10.240.12.66.25: S 531272327 (0) win 1024 <mss 1 ....
12:36:34.614175 IP 10.240.12.66.5484 > 10.240.12.66.25: S 531272327 (0) win 1024 <mss 1 ....
e assim vai...

este ip 10.240.12.66 é ip da internet, o que seria isto

seria algum spam que estaria sendo executado no meu servidor?

eu tenho o clamav instalo e atualizado, rodo ele de hora em hora e nao encontra nada infectado..

Alguma dica?

abraços

Fabiano.

renato_pacheco
(usa Debian)

Enviado em 22/09/2010 - 14:40h

Instale, no seu servidor, um software chamado ntop. Ele monitora todas as conexões entrantes e saintes da interface d rede (WAN). Não sei qual é a sua distro, mas depois d instalado, vc executa da seguinte forma:

# ntop -i eth0

Considerando q a eth0 seja a WAN da sua rede.

fbsalvi
(usa Outra)

Enviado em 22/09/2010 - 14:47h

Ok Renato, valew vou instalar e monitorar...

qq. coisa posto aki

Abraços

Fabiano.

balocco
(usa Debian)

Enviado em 24/09/2010 - 15:40h

Boa tarde pessoal;

Isso me parece não ser nada da sua máquina interna não, acho que esse problema é no seu provedor mesmo...

Há um tempo atrás eu tinha um server novell 6.5 rodando serviço de e-mail e eu estava tendo alguns problemas dessse tipo...E se não me engano era configuração de reverso errada.

Desculpe se eu estiver viajando, mas pelo que lembo era isso...

Boa sorte aí.

Att;
Balocco.

fbsalvi
(usa Outra)

Enviado em 24/09/2010 - 17:58h

Ola balloco, valew pela dica entao, cara eu tambem suspeito disso, eu acho qu o problema ta no reverso da telefonica mesmo viu.. pois tenho certeza de que meu server esta limpo (alias nao eh nem server de email, apenas nat, proxy e firewall) e o host que tem permissao de envio e recebimento de email esta limpo, rodo o kaspersy original nele... e um ip da telefonica, que alias essa minha rede e de ip privado (intragov) esse ip que ta acuando e um ip publico e creio que pertence a teleonica (data center deles), pode ser esse reverso mesmo viu..

Mas agradeço a dica, vou verificar com o gerente de negocios aqui da regiao da telefonica

Fabiano.