glug:Attaccato!!!
Paolo Gaggini
glug@genova.linux.it
Mon, 10 Feb 2003 09:10:18 +0100
Stamattina, ore 6:30 circa, il server mi ha svegliato. L'hard disk
frullava parecchio. Ho lasciato correre pensando che stesse facendo gli
affari suoi ma il frullio continua per molto. Apro un occhietto e lo
butto sullo switch: il led del server lampeggia di brutto: ok, non sta
facendo le *sue* cosine.
Mi alzo di corsa, accendo la mia workstation ed entro sul server via
ssh.
netstat -a
AARRGHHHHH!!!!!
Decine di connessioni smtp da ip sconosciuti!!!!! Ma nessuna mail nella
mia box!!
Preso dal panico, stacco la spina della linea telefonica!!
Mente fredda.
Esamino i log. L'unico che dice qualcosa è il mainlog di exim (il mio
MTA). Qualcuno sta usando il mio server per spammare alla grande. Gli
indirizzi di destinazione infatti sono una serie di combinazioni
inizianti con la lettera f indirizzati a un paio di domini.
Cazzo.
Mi viene in mente che proprio ieri avevo "rilassato" le restrizioni sul
relaying perchè l'account che ho creato alla mia ragazza non riusciva a
spedire mail al di fuori della mia rete locale. Strano: perchè io dalla
mia workstation non ho problemi mentre lei dalla sua ciccia. Ho in
pratica impostato il relaying su *tutti* i domini esterni... li per li
non ho pensato a degli attacchi... non è mai successo niente prima
d'ora!!!
Ora ho chiuso tutto, ho settato qualunque configurazione restrittiva che
ho trovato nel file di configurazione di exim. Ho riavviato inetd e
qualcosa è cambiato: il server rifiuta il relaying per un certo ip, ma
noto che ogni tanto un messaggio viene spedito per conto di un altro
ip. Gli ip in ingresso su smtp sono diversi, anche se cominciano tutti
per 211 (quindi al limite anche filtrarli con firewall diventa
problematico).
L'output di netstat -a si è calmato: ho solo due connessioni smtp (prima
erano almeno 10).
In ogni caso sono ancora sotto "attacco".
E non posso spedire mail: il server le rifiuta anche da me (finchè non
sono sicuro rimango in stato "paranoico").
Per spedire questa mi sono riagganciato all'smtp del mio provider adsl.
Per ricevere non ho problemi, invece (tranne uno: non posso mandare mail
a me stesso o ad altri account sul mio server. Mistero.)
Come cazzio definitivamente gli indesiderati?
Ho modo di vedere il testo delle mail spedite?
Se il buon giorno si vede dal mattino, oggi sono a posto.
----------
Paolo Gaggini
gse@libero.it -- email pubblica
http://www.gseserver.net -- GSE Network
http://www.biologiafacile.net -- Portale Universitario
http://www.linux-at-home.net -- LINUX@HOME
#220216 Linux Registered User