[Tech] [scm@datamoda.it: (figlio di... :) )] e risposta

Gianni Bianchini giannibi@firenze.linux.it
Gio 28 Dic 2000 13:41:52 CET


Forwardo in lista messaggio arrivato a tech-admin (miracolo del
programma di posta?) e rispondo in fondo. 

----- Forwarded message from scm@datamoda.it -----

From: <scm@datamoda.it>
To: <tech-admin@firenze.linux.it>
Subject: 
Date: Tue, 26 Dec 2000 14:10:17 +0100

Innanzitutto Buon Natale a tutti anche se un po' in ritardo.
Vengo al punto. Avrei bisogno di una mano perché un figlio di..(censura)...
si è infilato su un mio server e lo usa come open relay per inviare la sua
posta. Ho visto dai log che sta reclamizzando un portentoso rimedio contro
il lardo in eccesso e mi sembra che la spazzatura venga da New York. Quali
strumenti ci sono per beccare questo "benemerito" e come ha fatto ad entrare
nel mio server. Ho bisogno di capire come funziona la faccenda.
Vedo che ogni volta si presenta con un nome diverso (ma simile), sempre con
la stessa estensione .uu.net ed invia ad altrettanti account con nomi
apparentemente fittizi.
Una volta si presenta com 1Cust227.tnt1.ann-arbor.mi.da.uu.net
(204.177.254.10), un'altra come 1Cust166.tnt3.det1.da.uu.net
(63.48.152.166), ecc. I domini di provenienza sono earthlink.net,
bigfoot.com, salesforhire.net, networkhosts.com, ecc.
Grazie a chi mi potrà dare una mano.

                                 Ric

----- End forwarded message -----

Per prima cosa credo tu debba cercare di capire se costui sta
semplicemente utilizzando la tua macchina come relay perche' questa e' mal
configurata all'origine (che MTA usi? lo hai esplicitamente
autorizzato a ricevere posta non locale?) oppure se ha effettivamente
compromesso il sistema con lo scopo di riconfigurare il MTA in modo da
poter mandare spam.
Nel primo caso, riconfigura il MTA per ricevere posta non locale solo
da macchine fidate. Nel secondo, vedi anche il precedente thread
"Intruderrrrr!" su questa lista, e' consigliabile fare un backup dei
dati ed effettuare una nuova installazione del sistema, a meno che, a
seguito dell'eventuale impiego di sistemi di intrusion detection e
digest, non si abbia ragionevole certezza che certi componenti/servizi non
siano stati compromessi. Va da se' che e' necessario determinare quale
servizio ha permesso l'intrusione e, nella nuova installazione, non
utilizzare versioni di programmi riconosciute vulnerabili ad attacchi.

uu.net e' un grosso provider di accesso. Gli indirizzi hanno tutta
l'aria di essere connessioni dialup, probabilmente non utilizzate dai
legittimi utenti. Per quanto possa essere utile, segnala la cosa al
servizio abuse di uu.net.

Quelli che tu chiami "domini di provenienza" credo siano i From: o i
Reply-To: dei messaggi di spam. Inutile perderci tempo dietro, sono
con ogni probabilita' indirizzi fantasma.

Ciao.
Gianni.


--
   Gianni Bianchini - giannibi@firenze.linux.it
                      giannibi@iname.com





Maggiori informazioni sulla lista flug-tech