[FoLUG]Intrusione su Qmail

parisi11@libero.it parisi11@libero.it
Ven 12 Set 2003 11:26:48 CEST


Salve,
    stamattina ho trovato sulla Qmail Queue 24 email provenienti da indirizzi a
me sconosciuti e dirette ad altrettanti sconosciuti!!!!

Qualcuno si sarà introdotto dall'esterno, visto che il server in questione è
utilizzato solo da 3 persone.
Ho controllato il file di log secure ed all'orario in cui sono arrivate queste
email c'era:

Sep 12 02:41:33 lynx xinetd[837]: START: smtp pid=21453 from=213.81.179.205
Sep 12 02:41:34 lynx tcp-env[21454]: connect from 200.63.138.31 (200.63.138.31)
Sep 12 02:41:34 lynx xinetd[837]: START: smtp pid=21454 from=200.63.138.31
Sep 12 02:45:52 lynx tcp-env[22533]: connect from 127.0.0.2 (127.0.0.2)
Sep 12 02:45:52 lynx xinetd[837]: START: smtp pid=22533 from=127.0.0.2
Sep 12 02:48:42 lynx xinetd[837]: START: smtp pid=23226 from=127.0.0.2
Sep 12 02:48:42 lynx tcp-env[23226]: connect from 127.0.0.2 (127.0.0.2)
Sep 12 02:49:31 lynx tcp-env[23430]: connect from 127.0.0.2 (127.0.0.2)
...
...
...


Non sono molto pratico di sicurezza, ma sembra che qualcuno si sia introdotto
sul server e l'abbia usato come ponte per l'invio di email.
Qualcuno sa suggerimi qualcosa da fare per evitare nuovamente questa situazione?

Grazie



Maggiori informazioni sulla lista FoLUG