glug:Attaccato!!!

Paolo Gaggini glug@genova.linux.it
Mon, 10 Feb 2003 09:10:18 +0100 

Stamattina, ore 6:30 circa, il server mi ha svegliato. L'hard disk 
frullava parecchio. Ho lasciato correre pensando che stesse facendo gli 
affari suoi ma il frullio continua per molto. Apro un occhietto e lo 
butto sullo switch: il led del server lampeggia di brutto: ok, non sta 
facendo le *sue* cosine.
Mi alzo di corsa, accendo la mia workstation ed entro sul server via 
ssh.

netstat -a

AARRGHHHHH!!!!!
Decine di connessioni smtp da ip sconosciuti!!!!! Ma nessuna mail nella 
mia box!!
Preso dal panico, stacco la spina della linea telefonica!! 
Mente fredda.
Esamino i log. L'unico che dice qualcosa è il mainlog di exim (il mio 
MTA). Qualcuno sta usando il mio server per spammare alla grande. Gli 
indirizzi di destinazione infatti sono una serie di combinazioni 
inizianti con la lettera f indirizzati a un paio di domini.
Cazzo.
Mi viene in mente che proprio ieri avevo "rilassato" le restrizioni sul 
relaying perchè l'account che ho creato alla mia ragazza non riusciva a 
spedire mail al di fuori della mia rete locale. Strano: perchè io dalla 
mia workstation non ho problemi mentre lei dalla sua ciccia. Ho in 
pratica impostato il relaying su *tutti* i domini esterni... li per li 
non ho pensato a degli attacchi... non è mai successo niente prima 
d'ora!!!
Ora ho chiuso tutto, ho settato qualunque configurazione restrittiva che 
ho trovato nel file di configurazione di exim. Ho riavviato inetd e 
qualcosa è cambiato: il server rifiuta il relaying per un certo ip, ma 
noto che ogni tanto un messaggio viene spedito per conto di un altro 
ip. Gli ip in ingresso su smtp sono diversi, anche se cominciano tutti 
per 211 (quindi al limite anche filtrarli con firewall diventa 
problematico).
L'output di netstat -a si è calmato: ho solo due connessioni smtp (prima 
erano almeno 10).
In ogni caso sono ancora sotto "attacco".
E non posso spedire mail: il server le rifiuta anche da me (finchè non 
sono sicuro rimango in stato "paranoico").
Per spedire questa mi sono riagganciato all'smtp del mio provider adsl.
Per ricevere non ho problemi, invece (tranne uno: non posso mandare mail 
a me stesso o ad altri account sul mio server. Mistero.)

Come cazzio definitivamente gli indesiderati?
Ho modo di vedere il testo delle mail spedite?

Se il buon giorno si vede dal mattino, oggi sono a posto. 

----------
Paolo Gaggini
gse@libero.it  --   email pubblica
http://www.gseserver.net  -- GSE Network
http://www.biologiafacile.net -- Portale Universitario
http://www.linux-at-home.net   -- LINUX@HOME

#220216 Linux Registered User