[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Server Debian compromesso



Grazie mille ragazzi! Mi sa che mi attende un weekend di iptables e mail ai vari abuse! Ciao

Il giorno 14/mag/2011 10:19, "mauro@majaglug.net" <mauro@majaglug.net> ha scritto:
>
> Il giorno 14/mag/2011, alle ore 01.15, Michele Orsenigo ha scritto:
>
>> Mah, l'indirizzo 217.133.47.237 è di tiscali.
>> Io intanto lo bloccherei su iptables e continuerei con calma l'indagine.
>
>
> concordo in pieno. prima lo si blocca e poi si ragiona.
>
> per curiosita', ho iniziato con l'analisi dell'ip.
>
> il whois riporta proprieta' tiscali (a tal proposito, abuse@tiscali.it server
> per le segnalazioni contro uso strano dei loro ip)
> dig-x riporta
> 237.47.133.217.in-addr.arpa. 84326 IN PTR static-217-133-47-237.clienti.tiscali.it.
>
> quindi l'ip appartiene alla rete clienti.
>
> un rapido nmap dice :
> sto' aperta come una cozza, ovvero ha un elenco di servizi aperti che e' uno spettacolo.
> ora non mi sono messo a giocare con i loro servizi, mi sa' che e' una macchina compromessa e pure
> bene.
>
> ovviamente un test veloce in rdp mi dice che la macchina e' un winz 2003.
> altri test sulla porta 110 e 25 mi dicono che la macchina usa exchange server e
> che appartiene a questi signori:
>
> 220 emmegisoftware.com Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Sat, 14 May 2011 10:04:59 +0200
>
> Administrative Contact:
> Emmegisoftware s.r.l., Emmegisoftware s.r.l. info@emmegisoftware.com
> Via Gallucci 85
> Catanzaro, CZ 88100
> IT
> 0961745339
> Technical Contact:
> Emmegisoftware s.r.l., Emmegisoftware s.r.l. info@emmegisoftware.com
> Via Gallucci 85
> Catanzaro, CZ 88100
> IT
> 0961745339
>
>
> inoltre, tanto per proseguire l'analisi, come provo a forzare il login, escono errori di sistemi.... bello.
>
> quindi la mail di avviso direi di mandarla a abuse@tiscali.it e a postmaster@emmegisoftware.com
> e a info@emmegisoftware.com (sperando che la leggano).
>
> nel frattempo.... iptables come se piovesse.
>
> --
> mauro [at] majaglug [dot] net
>
>
>
>
>
> --
> Per REVOCARE l'iscrizione alla lista, inviare un email a
> debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
> problemi inviare un email in INGLESE a listmaster@lists.debian.org
>
> To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: 3FBE9973-DC07-4402-BFCA-F4AB49DE1985@majaglug.net">http://lists.debian.org/3FBE9973-DC07-4402-BFCA-F4AB49DE1985@majaglug.net
>

Reply to: