[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Server Debian compromesso



controlla le regole di postifix prima  verifica che non sia un  openrealy.
se non lo e' ferma postfix e' guarda la sorgente delle mail nei log.

Verifica che la sorgente IP non sia qualcosa che hai autorizzato.
se ancora tutto a posto
dopo di che attiva con iptables il log delle connessioni
iptables  -A INPUT -j LOG  -m limit --limit 30/minute --log-prefix
"IPtables Input: "

al limite togli  -m limit --limit 30/minute  per un log con maggiori
informazioni.

e cerca di capire da dove arriva e come arriva attacco

se dopo di che tutto e' normale cerca un root kit nel tuo server



Il 05/13/2011 05:35 PM, Paolo Ghidini ha scritto:
> Ciao a tutti, ho un server Debian squeeze in dmz con installato
> postfix+amavis+antivirus+antispam che smista la posta su un altro server
> Debian dove ci sono le caselle di posta. Dalle 13 di oggi mi trovo con
> migliaia di mail con mittente e destinatario non autorizzati che mi bloccano
> il mail server. Le cancello e dopo poco ci sono di nuovo. Ho controllato il
> sistema con rhkunter e openrelays ma non ho trovato nulla, come posso fare
> per verificare se la macchina è compromessa?
> Grazie
> 
> Ghido
> 


Reply to: