Re: Server Debian compromesso

To: "Paolo Ghidini" <paolo@ghido.com>
Cc: debian-italian@lists.debian.org
Subject: Re: Server Debian compromesso
From: "Federico Sgobbi" <federico@sgobbi.it>
Date: Fri, 13 May 2011 17:57:41 +0200
Message-id: <[🔎] b95c7df4ad93ee1647b598fc237bc016.squirrel@webmail.technolobit.com>
In-reply-to: <[🔎] BANLkTinH5X5N1qrVO9H_tZuycEQHxi-yDA@mail.gmail.com>
References: <[🔎] BANLkTinH5X5N1qrVO9H_tZuycEQHxi-yDA@mail.gmail.com>

On Fri, May 13, 2011 5:35 pm, Paolo Ghidini wrote:
> Ciao a tutti, ho un server Debian squeeze in dmz con installato
> postfix+amavis+antivirus+antispam che smista la posta su un altro server
> Debian dove ci sono le caselle di posta. Dalle 13 di oggi mi trovo con
> migliaia di mail con mittente e destinatario non autorizzati che mi
> bloccano
> il mail server. Le cancello e dopo poco ci sono di nuovo. Ho controllato
> il
> sistema con rhkunter e openrelays ma non ho trovato nulla, come posso fare
> per verificare se la macchina è compromessa?
Io fare sicuramente almeno questi controlli superficiali:
- Controlla se ci sono script/demoni strani in esecuzione
- Controlla se ci sono sessioni aperte dall'esterno (sono dei paramentri
da passare al comando netstat)
- Controlla gli header delle email incriminate e vedi se ricavi qualche
informazione sul giro presunto che fanno

-- 
Walking the world

Reply to:

References:
- Server Debian compromesso
  - From: Paolo Ghidini <paolo@ghido.com>

Prev by Date: Server Debian compromesso
Next by Date: Re: Server Debian compromesso
Previous by thread: Server Debian compromesso
Next by thread: Re: Server Debian compromesso
Index(es):
- Date
- Thread