Re: Server Debian compromesso
controlla le regole di postifix prima verifica che non sia un openrealy.
se non lo e' ferma postfix e' guarda la sorgente delle mail nei log.
Verifica che la sorgente IP non sia qualcosa che hai autorizzato.
se ancora tutto a posto
dopo di che attiva con iptables il log delle connessioni
iptables -A INPUT -j LOG -m limit --limit 30/minute --log-prefix
"IPtables Input: "
al limite togli -m limit --limit 30/minute per un log con maggiori
informazioni.
e cerca di capire da dove arriva e come arriva attacco
se dopo di che tutto e' normale cerca un root kit nel tuo server
Il 05/13/2011 05:35 PM, Paolo Ghidini ha scritto:
> Ciao a tutti, ho un server Debian squeeze in dmz con installato
> postfix+amavis+antivirus+antispam che smista la posta su un altro server
> Debian dove ci sono le caselle di posta. Dalle 13 di oggi mi trovo con
> migliaia di mail con mittente e destinatario non autorizzati che mi bloccano
> il mail server. Le cancello e dopo poco ci sono di nuovo. Ho controllato il
> sistema con rhkunter e openrelays ma non ho trovato nulla, come posso fare
> per verificare se la macchina è compromessa?
> Grazie
>
> Ghido
>
Reply to: