Re: Server Debian compromesso
Il giorno 14/mag/2011, alle ore 01.15, Michele Orsenigo ha scritto:
> Mah, l'indirizzo 217.133.47.237 è di tiscali.
> Io intanto lo bloccherei su iptables e continuerei con calma l'indagine.
concordo in pieno. prima lo si blocca e poi si ragiona.
per curiosita', ho iniziato con l'analisi dell'ip.
il whois riporta proprieta' tiscali (a tal proposito, abuse@tiscali.it server
per le segnalazioni contro uso strano dei loro ip)
dig-x riporta
237.47.133.217.in-addr.arpa. 84326 IN PTR static-217-133-47-237.clienti.tiscali.it.
quindi l'ip appartiene alla rete clienti.
un rapido nmap dice :
sto' aperta come una cozza, ovvero ha un elenco di servizi aperti che e' uno spettacolo.
ora non mi sono messo a giocare con i loro servizi, mi sa' che e' una macchina compromessa e pure
bene.
ovviamente un test veloce in rdp mi dice che la macchina e' un winz 2003.
altri test sulla porta 110 e 25 mi dicono che la macchina usa exchange server e
che appartiene a questi signori:
220 emmegisoftware.com Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Sat, 14 May 2011 10:04:59 +0200
Administrative Contact:
Emmegisoftware s.r.l., Emmegisoftware s.r.l. info@emmegisoftware.com
Via Gallucci 85
Catanzaro, CZ 88100
IT
0961745339
Technical Contact:
Emmegisoftware s.r.l., Emmegisoftware s.r.l. info@emmegisoftware.com
Via Gallucci 85
Catanzaro, CZ 88100
IT
0961745339
inoltre, tanto per proseguire l'analisi, come provo a forzare il login, escono errori di sistemi.... bello.
quindi la mail di avviso direi di mandarla a abuse@tiscali.it e a postmaster@emmegisoftware.com
e a info@emmegisoftware.com (sperando che la leggano).
nel frattempo.... iptables come se piovesse.
--
mauro [at] majaglug [dot] net
Reply to: