glug:Attaccato!!!
Paolo Gaggini
glug@genova.linux.it
Mon, 10 Feb 2003 20:22:54 +0100
On Monday 10 February 2003 16:34, Stefano Canepa wrote:
> Fai partire exim da inetd e poi
è già così
> proteggi di conseguenza inetd. Poi
non so come..
> metti su 4 regole di ipfilter.
già fatto. bisogna vedere se funzionano...
La situazione è questa: attualmente calma piatta.
L'ip che mi ha bombardato di piu' (quello che però il mio server riesce
a rifiutare) appartiene a iana.org, che probabilmente lo ha venduto a
terzi (chissà chi). A tale ip non corrisponde un sito. Le mail inviate
da tale ip si presentato come enjoylife03@empal.com. L'accout
sicuramente è inesistente. Il dominio invece esiste: è un sito cinese o
giapponese (illeggibile) [curioso: da molti mesi ormai mi arriva anche
spam in giapponese/cinese su alcuni miei indirizzi email]. I recipienti
erano, negli ultimi attacchi, nomi casuali su yahoo croato. (ma pensa
te!!)
Dalle 14:11 non ho più attacchi.
L'altro ip, o meglio l'altra serie di ip sempre con 211 iniziale, i cui
attacchi partivano in corrispondenza della misteriosa attivazione di
cron, non mi ha più attaccato da circa mezzogiorno. Questo attacco però
riusciva a spedire mail indisturbato, sebbene lentamente. E' probabile
che almeno in questo caso sia complice un'intrusione di cui non sono in
grado (io) di trovarne traccia. Tutte le mail erano indirizzate ad
account casuali su hanmail.net. Origine sconosciuta (altra anomalia), a
parte gli ip multipli che potevo vedere con netstat. Hanmail.net
guardacaso ha un ip che inizia per 211 ed appartiene anch'esso a
iana.org. Messo nel browser, non fa altro che eseguire un redirect a
daum.net (sito cino/giapponese) che ha un ip 211.233 uguale
all'iniziale di hamail.net.
Per adesso tengo il server in osservazione e studio la situazione (oltre
che postfix, firewall, ecc nel più breve tempo possibile). Mantengo il
blocco sulla posta in uscita dal server, anche se a discapito dei siti
che ospito.
Domani vedo se l'attacco di ripete.
Nel qual caso, è probabile che attiverò il server di emergenza (è quasi
pronto a livello hardware ma devo installarci debian e AARGH
configurarlo e metterci sopra i dati... non so se fidarmi dei miei
backup giornalieri: potrebbero essere infetti)
Gente di merda che c'è al mondo :(
----------
Paolo Gaggini
gse@libero.it -- email pubblica
http://www.gseserver.net -- GSE Network
http://www.biologiafacile.net -- Portale Universitario
http://www.linux-at-home.net -- LINUX@HOME
#220216 Linux Registered User