forum.rastrnet.ru  

Вернуться   forum.rastrnet.ru > Компьютеры и всё, что с ними связано > Операционные системы и системное ПО > UNIX-like

 Сообщения за день       Добавить альбом       Поиск      Правила форума  


Ответ
 
Опции темы Опции просмотра
Старый 31.08.2009, 16:09   #1
Sauron
undefined
 
Аватар для Sauron
 
Регистрация: 16.01.2007
Сообщений: 193
Exclamation Взлома почтового сервера на Debian

Описываю ситуацию:
сегодня секретурка попросила глянуть почему у неё начиная с 27-го числа нету почты. полез, просто ради интереса, на сервер, который у нас на Debian, глянул логи авторизации в /var/log и обнаружил 200 килобайтный файл лога, в котором начиная с 8 утра 25-го числа шли многочисленные попытки подборки пароля root. 26-го числа вечером они увенчались успехом, что видно по логам. взломщики юзали французский проксик, как показала проверка whois на оставленный в логах айпишник. пароль рута я первым делом сменил.
теперь начинается самое интересное. почтовый сервер кушается лимитный интернет-тариф, который тут же ушёл в большой минус. ушёл он потому, что с 26-го числа данный почтовик используется с целью спама. согласно логам шли отсылки вплоть до 8 сообщений в секунду.
в данный момент почта не работает ввиду того что баланс отрицательный. пополнять баланс я им запретил до тех пор пока не решу проблему.
что могли оставить злоумышленники на сервере?
что именно мне теперь нужно убить, чтобы остановить спам идущий с сервака?

всем заранее спасибо за помощь. не могу сказать что сроки решения проблемы прям уж сильно поджимают, но чем дольше не будет работать почта, тем хуже.
__________________
Regards. Your dark lord.
Sauron вне форума   Ответить с цитированием
Старый 31.08.2009, 19:45   #2
Slider
@{0_0}@
 
Аватар для Slider
 
Регистрация: 29.09.2004
Сообщений: 378
Отправить сообщение для Slider с помощью ICQ
По умолчанию

что там за почтовик? ссх открыто для всех на внешку?через ссх можно сразу рута получить?
идеал после такого фейла надо сносить систему и ставить заного. ну про мелочи вроде заявления по собственному я говорить небуду...
__________________
Тяжело в учении , легко в очаге поражения.

Последний раз редактировалось Slider; 31.08.2009 в 20:04.
Slider вне форума   Ответить с цитированием
Старый 31.08.2009, 22:46   #3
Sauron
undefined
 
Аватар для Sauron
 
Регистрация: 16.01.2007
Сообщений: 193
По умолчанию

я его не админил. люди, которые его настраивали давно поувольнялись. я пришёл на заявку по "неработающей почте". в результате ковыряния логов было несложно увидеть 200 килобайт попыток подбора пароля. потом виден вход на почтовик с французского прокси.
ссх открыт на внешку, да. по нему можно сразу залезть на рута, да. пам-авторизации нету, нет. антиспам отключен. фаервола нет и судя по всему никогда небыло.
синту убиццо за корявый понт ушедший в молоко
__________________
Regards. Your dark lord.
Sauron вне форума   Ответить с цитированием
Старый 31.08.2009, 22:58   #4
MebiuS
[3912]
 
Аватар для MebiuS
 
Регистрация: 09.10.2004
Сообщений: 5,600
Отправить сообщение для MebiuS с помощью ICQ
По умолчанию

антивирь поставь, adavare поставь, пасс смени на 40 значный,чтоб брутфорсом не подбирался. кто пользует такой простой способ врядли может натворить бед)
__________________
Сдохни, тостер, сдохни
MebiuS вне форума   Ответить с цитированием
Старый 01.09.2009, 10:00   #5
Slider
@{0_0}@
 
Аватар для Slider
 
Регистрация: 29.09.2004
Сообщений: 378
Отправить сообщение для Slider с помощью ICQ
По умолчанию

чего ты хочешь то , нормально напиши задачу которая перед тобой стоит, из постов непонятно нифига
__________________
Тяжело в учении , легко в очаге поражения.
Slider вне форума   Ответить с цитированием
Старый 01.09.2009, 10:29   #6
Format c:/
Cisco
 
Аватар для Format c:/
 
Регистрация: 04.11.2005
Сообщений: 2,111
Отправить сообщение для Format c:/ с помощью ICQ Отправить сообщение для Format c:/ с помощью Skype™
По умолчанию

Копаться в чужом это неблагодарное дело, если на машине только почта, то снеси и настрой заново перенеся базу и убив такие банальные дыры оставленные предыдущими админами
__________________
Format c:/ вне форума   Ответить с цитированием
Старый 01.09.2009, 13:51   #7
Sauron
undefined
 
Аватар для Sauron
 
Регистрация: 16.01.2007
Сообщений: 193
По умолчанию

уже. хотел без таких фатальных мер, просто найти засланного на сервак казачка, и расстрелять его на месте. но чёт проще оказалось с нуля поднять. зато антивирь поставил, и пам-авторизацию включил. осталось щас фаервол настроить.
кстати странная вещь - порт входа ссх с дефолтного 22-го не хочется меняться на другой. втф?
__________________
Regards. Your dark lord.
Sauron вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Debian Snoopy UNIX-like 16 23.04.2010 21:33
Debian и РАСТР m`ax UNIX-like 6 29.05.2007 22:05
Прога для взлома RAR архива Serega Поиск 5 04.02.2007 17:41
Программа для взлома Flatout2 через сеть _Nva_ Поиски Игр 0 02.08.2006 19:58
Прога для взлома паролей в Word'е PiXEL Поиск 2 09.12.2005 11:52


Текущее время: 20:00. Часовой пояс GMT +7.


Powered by vBulletin® Version 3.8.4 Patch Level 5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Форум открыт в июле 2004 г.
Кошки и котята Красноярска и Сибири Живой Мир Сибири