glug:Attaccato!!!

Paolo Gaggini glug@genova.linux.it
Mon, 10 Feb 2003 20:22:54 +0100 

On Monday 10 February 2003 16:34, Stefano Canepa wrote:


> Fai partire exim da inetd e poi

è già così

> proteggi di conseguenza inetd. Poi

non so come..

> metti su 4 regole di ipfilter.

già fatto. bisogna vedere se funzionano...
La situazione è questa: attualmente calma piatta.
L'ip che mi ha bombardato di piu' (quello che però il mio server riesce 
a rifiutare) appartiene a iana.org, che probabilmente lo ha venduto a 
terzi (chissà chi). A tale ip non corrisponde un sito. Le mail inviate 
da tale ip si presentato come enjoylife03@empal.com. L'accout 
sicuramente è inesistente. Il dominio invece esiste: è un sito cinese o 
giapponese (illeggibile) [curioso: da molti mesi ormai mi arriva anche 
spam in giapponese/cinese su alcuni miei indirizzi email]. I recipienti 
erano, negli ultimi attacchi, nomi casuali su yahoo croato. (ma pensa 
te!!)
Dalle 14:11 non ho più attacchi.
L'altro ip, o meglio l'altra serie di ip sempre con 211 iniziale, i cui 
attacchi partivano in corrispondenza della misteriosa attivazione di 
cron, non mi ha più attaccato da circa mezzogiorno. Questo attacco però 
riusciva a spedire mail indisturbato, sebbene lentamente. E' probabile 
che almeno in questo caso sia complice un'intrusione di cui non sono in 
grado (io) di trovarne traccia. Tutte le mail erano indirizzate ad 
account casuali su hanmail.net. Origine sconosciuta (altra anomalia), a 
parte gli ip multipli che potevo vedere con netstat. Hanmail.net 
guardacaso ha un ip che inizia per 211 ed appartiene anch'esso a 
iana.org. Messo nel browser, non fa altro che eseguire un redirect a 
daum.net (sito cino/giapponese) che ha un ip 211.233 uguale 
all'iniziale di hamail.net.

Per adesso tengo il server in osservazione e studio la situazione (oltre 
che postfix, firewall, ecc nel più breve tempo possibile). Mantengo il 
blocco sulla posta in uscita dal server, anche se a discapito dei siti 
che ospito.

Domani vedo se l'attacco di ripete.  

Nel qual caso, è probabile che attiverò il server di emergenza (è quasi 
pronto a livello hardware ma devo installarci debian e AARGH 
configurarlo e metterci sopra i dati... non so se fidarmi dei miei 
backup giornalieri: potrebbero essere infetti)

Gente di merda che c'è al mondo :(

----------
Paolo Gaggini
gse@libero.it  --   email pubblica
http://www.gseserver.net  -- GSE Network
http://www.biologiafacile.net -- Portale Universitario
http://www.linux-at-home.net   -- LINUX@HOME

#220216 Linux Registered User