Re: en otra de ataque a mi servidor de correo

To: Camaleón <noelamac@gmail.com>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: en otra de ataque a mi servidor de correo
From: troxlinux <xserverlinux@gmail.com>
Date: Wed, 30 Jun 2010 15:50:24 -0600
Message-id: <[🔎] AANLkTim4HtzqMDcb7fT4YuDv4JC96DcssyPjdDzw_4ic@mail.gmail.com>
In-reply-to: <[🔎] pan.2010.06.30.21.37.56@gmail.com>
References: <[🔎] AANLkTikkz-RkFXg6CawiT7WNHQrYgtHCnKE_4kWm-few@mail.gmail.com> <[🔎] pan.2010.06.30.21.37.56@gmail.com>

El día 30 de junio de 2010 15:37, Camaleón <noelamac@gmail.com> escribió:
>
> Eso no puede ser :-/
>
> Supongo que estás con Postfix. Analiza el "/var/log/mail" y mira a ver
> qué es lo que está pasando realmente (origen y destino de esos mensajes,
> así como las direcciones IP) para descartar que tengas un relay abierto.
>
> Supongo que son rebotes, es decir, que alguien ha enviado correos con una
> dirección en el campo "From:" apuntando a tu dominio y un "Reply-To:"
> apuntando a un segundo dominio (o viceversa) y os estéis devolviendo
> mutuamente los correos.

pues todos se conectar el port 25 de mi servidor y el localhost

mira te muestro la cabecera de unos de mis correos atrapados por amavisd-new

X-Envelope-From: <qbxunshakeable@grupomunkel.com>
X-Envelope-To: <Jap345678@aol.com>, <spam@grupomunkel.com>
X-Envelope-To-Blocked: <Jap345678@aol.com>, <spam@grupomunkel.com>
X-Quarantine-ID: <EssHLEA7Rtd0>
X-Spam-Flag: YES
X-Spam-Score: 23.876
X-Spam-Level: ***********************
X-Spam-Status: Yes, score=23.876 tag=-999 tag2=5.2 kill=5.2
tests=[BAYES_99=3.5, DOS_OE_TO_MX=2.75, FH_RELAY_NODNS=1.451,
KAM_RBL=2, RCVD_IN_CBL=1, RCVD_IN_PBL=0.905, RCVD_IN_XBL=3.033,
RCVD_NUMERIC_HELO=2.067, RDNS_NONE=0.1, STOX_REPLY_TYPE=0.001,
TVD_RCVD_IP=1.931, TVD_RCVD_IP4=3.183, URIBL_BLACK=1.955]
autolearn=spam
Received: from lentesnic.grupomunkel.com ([127.0.0.1])
by localhost (lentesnic.grupomunkel.com [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id EssHLEA7Rtd0; Wed, 30 Jun 2010 15:47:16 -0600 (CST)
Received: from 125.164.242.230 (unknown [125.164.242.230])
by lentesnic.grupomunkel.com (Postfix) with SMTP id DFE0777AF85
for <Jap345678@aol.com>; Wed, 30 Jun 2010 14:50:21 -0600 (CST)
Message-ID: <000f01cb18d0$da3aec70$0747f808@voucherod4dde8>
From: "Tanner Neidhardt" <qbxunshakeable@grupomunkel.com>
To: "Jap345678" <Jap345678@aol.com>
Subject: Hello from Neidhardt

>
> Pero para saber cómo responder antes tienes que saber cuál es el origen
> del problema.
>

y mira las conexiones a mi puerto 25 algunas en time_wait o otras activas

tcp        0      0 165.98.97.38:25         84.124.180.22:2819      TIME_WAIT
tcp        0      0 165.98.97.38:25         84.124.180.22:2821      TIME_WAIT
tcp        0      0 165.98.97.38:25         200.83.118.206:4495     TIME_WAIT
tcp        0      0 165.98.97.38:25         200.83.118.206:4493     TIME_WAIT
tcp        0      0 165.98.97.38:25         84.124.180.22:2812      TIME_WAIT
tcp        0      0 165.98.97.38:25         84.124.180.22:2806      TIME_WAIT
tcp        0      0 165.98.97.38:25         190.42.47.9:61569       TIME_WAIT
tcp        0      0 165.98.97.38:25         200.83.118.206:4485     TIME_WAIT
tcp        0      0 165.98.97.38:25         200.83.118.206:4520     TIME_WAIT
tcp        0      0 165.98.97.38:25         190.42.47.9:61553       TIME_WAIT
tcp        0      0 165.98.97.38:25         200.83.118.206:4508     TIME_WAIT
cp        0      0 165.98.97.38:25         200.83.118.206:4518     TIME_WAIT

y hay mas ...


--More--



-- 
rickygm

http://gnuforever.homelinux.com

Reply to:

References:
- en otra de ataque a mi servidor de correo
  - From: troxlinux <xserverlinux@gmail.com>
- Re: en otra de ataque a mi servidor de correo
  - From: Camaleón <noelamac@gmail.com>

Prev by Date: Re: en otra de ataque a mi servidor de correo
Next by Date: Re: Problema con tarjeta inalámbrica
Previous by thread: Re: en otra de ataque a mi servidor de correo
Index(es):
- Date
- Thread