[FoLUG]Intrusione su Qmail

Davide Giunchi davidegiunchi@libero.it
Ven 12 Set 2003 11:38:29 CEST


Il 10:26, venerdì 12 settembre 2003, parisi11@libero.it ha scritto:
> Salve,
>     stamattina ho trovato sulla Qmail Queue 24 email provenienti da
> indirizzi a me sconosciuti e dirette ad altrettanti sconosciuti!!!!
>
> Qualcuno si sarà introdotto dall'esterno, visto che il server in questione
> è utilizzato solo da 3 persone.
> Ho controllato il file di log secure ed all'orario in cui sono arrivate
> queste email c'era:
>
> Sep 12 02:41:33 lynx xinetd[837]: START: smtp pid=21453 from=213.81.179.205
> Sep 12 02:41:34 lynx tcp-env[21454]: connect from 200.63.138.31
> (200.63.138.31) Sep 12 02:41:34 lynx xinetd[837]: START: smtp pid=21454
> from=200.63.138.31 Sep 12 02:45:52 lynx tcp-env[22533]: connect from
> 127.0.0.2 (127.0.0.2) Sep 12 02:45:52 lynx xinetd[837]: START: smtp
> pid=22533 from=127.0.0.2 Sep 12 02:48:42 lynx xinetd[837]: START: smtp
> pid=23226 from=127.0.0.2 Sep 12 02:48:42 lynx tcp-env[23226]: connect from
> 127.0.0.2 (127.0.0.2) Sep 12 02:49:31 lynx tcp-env[23430]: connect from
> 127.0.0.2 (127.0.0.2) ...
> ...
> ...
>
>
> Non sono molto pratico di sicurezza, ma sembra che qualcuno si sia
> introdotto sul server e l'abbia usato come ponte per l'invio di email.

Non ti ha bucato nessuno, o quanto meno dai log postati e da cio' che descrivi 
non c'e' nulla di tanto preoccupante.
Semplicemente qualcuno ha inviato alcune email utilizzando il tuo server di 
posta, probabilmente era abilitato al relaying.
Posta l'output di /var/qmail/bin/qmail-qread e il contenuto di 
/home/vpopmail/etc/tcp.smtp (o /etc/tcp.smtp), e potremmo capire qualcosa di 
piu'......
cmq non ti preoccupare troppo, al massimo avranno inviato un po' di spam in 
giro, l'importante e' sistemarlo.

Ciao

-- 
Davide Giunchi



Maggiori informazioni sulla lista FoLUG