date:20161213

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Ernesto Pérez Estévez

On 12/13/2016 12:39 PM, Alex ( Servtelecom ) wrote:
> Me aconsejas que pase el clamav en todo el servidor?
> descarto mala configuración de dovecot o postfix?

ya apareció el correo.

podrías usar clamav, también hay scripts que permiten ver si hay
contenido malicioso alojado en tus sitios (hay muchas variantes)





signature.asc
Description: OpenPGP digital signature
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Ernesto Pérez Estévez

On 12/13/2016 12:49 PM, Alex ( Servtelecom ) wrote:
> Esta claro que esto solo puede venir por aplicaciones web instaladas en
> mi servidor no? del exterior no porque lo vería en mis log's de mail.log
> pero allí no veo nada inusual. Me centro exclusivamente en las web's y
> solo en ellas no?

Digamos que alguien se hace pasar por ti desde un servidor de un
tercero... quizá los rebotes te llegarían a tí o te bloquearían
injustamente. Es una posibilidad.. quizá en este caso lo que debes hacer
es configurar SPF y _dmarc en cada dominio. SPF para que le permita a
los demás conocer que es una farsa el intento de un tercero, y el _dmarc
para que te ayude a recibir reportes y conocer quién envía cosas a tu
nombre... no sé, se me ocurre.

Pero me oriento a que sea algo interno, en las web, un script.

Podría ser un script levantado de otra forma (entraron por ssh por
ejemplo)... podría ser... no se puede descartar.

> 
> Igualmente lo de que solo direcciones validas puedan enviar y
> direcciones que no estén creadas en mi sistema de postfix no puedan, hay
> algún manual para que lo pueda aplicar a mi configuración actual? me
> interesa por si roban un password de alguien no me utilicen para enviar
> spam que alguna vez me ha pasado...
Eso no me convence tanto, porque el atacante está usando un script, no
se apoya en el postfix, sino que el script accede directo al puerto
25/tcp de un servidor remoto...

saludos
epe



> 
> Gracias por tu ayuda!!
> 
> Firma Alexandre Andreu Cases - Servtelecom
> El 13/12/16 a las 18:44, Miguel González escribió:
>> On 12/13/16 6:34 PM, Ernesto Pérez Estévez wrote:
>>> On 13/12/16 07:09, Ernesto Pérez Estévez wrote:
 On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
> En mi caso cuando lo he tenido lo he logrado controlar a través del
> uso
> de iptables, pero te cuento luego porque no es tan fácil.
>
>>> Se me perdió tu mensaje con la pregunta: respecto al fail2ban, es buena
>>> idea que lo tengas para evitar que te hagan el mismo tipo de ataques de
>>> diccionario al servidor, busca y activa las jaulas para el servidor de
>>> pop3, de imap y de smtp que tengas.. también hay jaulas para wordpress y
>>> para otros tipos de ataques que buscan claves débiles, etc.
>>>
>>> Pero eso no evita que un script ya estè siendo activamente explotado en
>>> tu servidor.
>>>
>>>
>>>
>>>
>>
>> Si tienes Wordpress, te recomiendo que instales Wordfence y/o Sucuri y
>> hagas una escaneo de tu Wordpress. Además te sirven para securizarlo.
>>
>> Saludos
>>
>> Miguel
>> ___
>> CentOS-es mailing list
>> CentOS-es@centos.org
>> https://lists.centos.org/mailman/listinfo/centos-es
> 
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es


-- 
CEDIA
La principal herramienta de Investigación en el Ecuador.

Calle La Condamine 12-109 "Casa Rivera".
Cuenca -  Ecuador
Telf: (593) 7405 1000 Ext. 4220/4223
i...@cedia.org.ec
www.cedia.org.ec



signature.asc
Description: OpenPGP digital signature
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Alex ( Servtelecom )

Esta claro que esto solo puede venir por aplicaciones web instaladas en 
mi servidor no? del exterior no porque lo vería en mis log's de mail.log 
pero allí no veo nada inusual. Me centro exclusivamente en las web's y 
solo en ellas no?


Igualmente lo de que solo direcciones validas puedan enviar y 
direcciones que no estén creadas en mi sistema de postfix no puedan, hay 
algún manual para que lo pueda aplicar a mi configuración actual? me 
interesa por si roban un password de alguien no me utilicen para enviar 
spam que alguna vez me ha pasado...


Gracias por tu ayuda!!

Firma Alexandre Andreu Cases - Servtelecom
El 13/12/16 a las 18:44, Miguel González escribió:

On 12/13/16 6:34 PM, Ernesto Pérez Estévez wrote:

On 13/12/16 07:09, Ernesto Pérez Estévez wrote:

On 13/12/16 07:00, Ernesto Pérez Estévez wrote:

En mi caso cuando lo he tenido lo he logrado controlar a través del uso
de iptables, pero te cuento luego porque no es tan fácil.


Se me perdió tu mensaje con la pregunta: respecto al fail2ban, es buena
idea que lo tengas para evitar que te hagan el mismo tipo de ataques de
diccionario al servidor, busca y activa las jaulas para el servidor de
pop3, de imap y de smtp que tengas.. también hay jaulas para wordpress y
para otros tipos de ataques que buscan claves débiles, etc.

Pero eso no evita que un script ya estè siendo activamente explotado en
tu servidor.






Si tienes Wordpress, te recomiendo que instales Wordfence y/o Sucuri y
hagas una escaneo de tu Wordpress. Además te sirven para securizarlo.

Saludos

Miguel
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es


___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Miguel González

On 12/13/16 6:34 PM, Ernesto Pérez Estévez wrote:
> On 13/12/16 07:09, Ernesto Pérez Estévez wrote:
>> On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
>>> En mi caso cuando lo he tenido lo he logrado controlar a través del uso
>>> de iptables, pero te cuento luego porque no es tan fácil.
>>>
> 
> Se me perdió tu mensaje con la pregunta: respecto al fail2ban, es buena
> idea que lo tengas para evitar que te hagan el mismo tipo de ataques de
> diccionario al servidor, busca y activa las jaulas para el servidor de
> pop3, de imap y de smtp que tengas.. también hay jaulas para wordpress y
> para otros tipos de ataques que buscan claves débiles, etc.
> 
> Pero eso no evita que un script ya estè siendo activamente explotado en
> tu servidor.
> 
> 
> 
> 


Si tienes Wordpress, te recomiendo que instales Wordfence y/o Sucuri y
hagas una escaneo de tu Wordpress. Además te sirven para securizarlo.

Saludos

Miguel
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Alex ( Servtelecom )


Me aconsejas que pase el clamav en todo el servidor?
descarto mala configuración de dovecot o postfix?

he mirado el erro exacto, os lo pongo aquí:

550 SC-002 - Correo rechazado por Outlook.com en virtud de sus 
directivas. La IP del servidor de correo que está conectando con 
Outlook.com ha mostrado un comportamiento de minería de espacio de 
nombres. Si no eres administrador de correo o de red, ponte en contacto 
con tu proveedor de acceso a correo o Internet para obtener ayuda.


Existe alguna web o algún aplicativo para ver si ya no persiste mi 
problema? por más que miro con el antivirus no me detecta nada y 
necesito que hotmail me vuelva a admitir


También te he preguntado en que parte de la configuración fuerzas a 
postfix y dovecot que solo los usuarios y dominios que existan puedan 
mandar correo, solo direcciones reales , no se puedan mandar desde 
direcciones inexistentes por mucho que la validación sea correcta ( se 
suele utilizar en web's que tienes un usuario pero la dirección de 
salida de la web pones w...@dominio.com )



Firma Alexandre Andreu Cases - Servtelecom
El 13/12/16 a las 18:34, Ernesto Pérez Estévez escribió:

On 13/12/16 07:09, Ernesto Pérez Estévez wrote:

On 13/12/16 07:00, Ernesto Pérez Estévez wrote:

En mi caso cuando lo he tenido lo he logrado controlar a través del uso
de iptables, pero te cuento luego porque no es tan fácil.


Se me perdió tu mensaje con la pregunta: respecto al fail2ban, es buena
idea que lo tengas para evitar que te hagan el mismo tipo de ataques de
diccionario al servidor, busca y activa las jaulas para el servidor de
pop3, de imap y de smtp que tengas.. también hay jaulas para wordpress y
para otros tipos de ataques que buscan claves débiles, etc.

Pero eso no evita que un script ya estè siendo activamente explotado en
tu servidor.






___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Ernesto Pérez Estévez

On 13/12/16 07:09, Ernesto Pérez Estévez wrote:
> On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
>> En mi caso cuando lo he tenido lo he logrado controlar a través del uso
>> de iptables, pero te cuento luego porque no es tan fácil.
>>

Se me perdió tu mensaje con la pregunta: respecto al fail2ban, es buena
idea que lo tengas para evitar que te hagan el mismo tipo de ataques de
diccionario al servidor, busca y activa las jaulas para el servidor de
pop3, de imap y de smtp que tengas.. también hay jaulas para wordpress y
para otros tipos de ataques que buscan claves débiles, etc.

Pero eso no evita que un script ya estè siendo activamente explotado en
tu servidor.

-- 
CEDIA
La principal herramienta de Investigación en el Ecuador.

Calle La Condamine 12-109 "Casa Rivera".
Cuenca -  Ecuador
Telf: (593) 7405 1000 Ext. 4220/4223
i...@cedia.org.ec
www.cedia.org.ec

Email secured by Check Point
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Alex ( Servtelecom )


Hola

todo es comprado y actualizado, no suelo utilizar cosas no originales

Igualmente estoy pasando el clamav a ver que encuentra y actualizado 
todos los wordpress a la ultima. Como puedo saber si mi problema se ha 
solucionado


Quedo pendiente de respuestas del correo anterior


Firma Alexandre Andreu Cases - Servtelecom
El 13/12/16 a las 16:17, Wilmer Arambula escribió:

Si solo usas WordPress,  has instalado una plantilla no original o algún
modulo no original, por allí creo que debes empezar,

Saludos,

Wilmer.

El 13/12/2016 9:50, "Alex ( Servtelecom )" 
escribió:


Acabo de aplicar esta regla en mi iptables a ver que pasa, en este
servidor solo tengo wordpress instalado y actualizado a la ultima,
igualmente lo revisare por si acaso.

Me aconsejas que pase el clamav en todo el servidor?
descarto mala configuración de dovecot o postfix?

he mirado el erro exacto, os lo pongo aquí:

550 SC-002 - Correo rechazado por Outlook.com en virtud de sus directivas.
La IP del servidor de correo que está conectando con Outlook.com ha
mostrado un comportamiento de minería de espacio de nombres. Si no eres
administrador de correo o de red, ponte en contacto con tu proveedor de
acceso a correo o Internet para obtener ayuda.

Utilizo fail2ban como complemento, crees que se puede aplicar algun extra
para que lo detecte y lo frene fail2ban?

También he visto que se puede proteger para que solo los dominios que hay
registrados en postfix y los usuarios validos puedan mandar correos, si
estas autentificado pero tratas de que se envie con una dirección que no es
la que hay registradas en postfix entonces no lo enviá. (ejemplo, tienes
dominio.com y quieres que se envie, desde una web como dominio2.com).
Esto como se puede hacer ya que creo que en mi configuración no lo he visto
y si que alguna vez he tenido problemas de este tipo.


Gracias por tu ayuda!

---


Firma Alexandre Andreu Cases - Servtelecom
El 13/12/16 a las 13:09, Ernesto Pérez Estévez escribió:


On 13/12/16 07:00, Ernesto Pérez Estévez wrote:


En mi caso cuando lo he tenido lo he logrado controlar a través del uso
de iptables, pero te cuento luego porque no es tan fácil.

Si el problema ocurre DESDE tu servidor, posiblemente debes buscar la

opción de bloquear el acceso a los scripts al puerto 25/tcp saliente.

Esto es en caso de que tus aplicaciones web corran bajo otro usuario que
no sea root. Ejemplo: si cada sitio virtual corre bajo un UID diferente,
entonces puedes aplicar reglas de iptables para que, excepto tu servidor
de smtp y el usuario root, nadie más pueda acceder al puerto 25/tcp
saliente.

iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j
ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with
icmp-port-unreachable

Claro, con esto no encontrarás al script malicioso, simplemente le
bloquearás cualquier intento. Quizá debas usar LOG para guardar los
intentos fallidos y tratar de encontrar el uid que está haciendo el
intento.



___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es


___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es


___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Wilmer Arambula

Si solo usas WordPress,  has instalado una plantilla no original o algún
modulo no original, por allí creo que debes empezar,

Saludos,

Wilmer.

El 13/12/2016 9:50, "Alex ( Servtelecom )" 
escribió:

> Acabo de aplicar esta regla en mi iptables a ver que pasa, en este
> servidor solo tengo wordpress instalado y actualizado a la ultima,
> igualmente lo revisare por si acaso.
>
> Me aconsejas que pase el clamav en todo el servidor?
> descarto mala configuración de dovecot o postfix?
>
> he mirado el erro exacto, os lo pongo aquí:
>
> 550 SC-002 - Correo rechazado por Outlook.com en virtud de sus directivas.
> La IP del servidor de correo que está conectando con Outlook.com ha
> mostrado un comportamiento de minería de espacio de nombres. Si no eres
> administrador de correo o de red, ponte en contacto con tu proveedor de
> acceso a correo o Internet para obtener ayuda.
>
> Utilizo fail2ban como complemento, crees que se puede aplicar algun extra
> para que lo detecte y lo frene fail2ban?
>
> También he visto que se puede proteger para que solo los dominios que hay
> registrados en postfix y los usuarios validos puedan mandar correos, si
> estas autentificado pero tratas de que se envie con una dirección que no es
> la que hay registradas en postfix entonces no lo enviá. (ejemplo, tienes
> dominio.com y quieres que se envie, desde una web como dominio2.com).
> Esto como se puede hacer ya que creo que en mi configuración no lo he visto
> y si que alguna vez he tenido problemas de este tipo.
>
>
> Gracias por tu ayuda!
>
> ---
>
>
> Firma Alexandre Andreu Cases - Servtelecom
> El 13/12/16 a las 13:09, Ernesto Pérez Estévez escribió:
>
>> On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
>>
>>> En mi caso cuando lo he tenido lo he logrado controlar a través del uso
>>> de iptables, pero te cuento luego porque no es tan fácil.
>>>
>>> Si el problema ocurre DESDE tu servidor, posiblemente debes buscar la
>> opción de bloquear el acceso a los scripts al puerto 25/tcp saliente.
>>
>> Esto es en caso de que tus aplicaciones web corran bajo otro usuario que
>> no sea root. Ejemplo: si cada sitio virtual corre bajo un UID diferente,
>> entonces puedes aplicar reglas de iptables para que, excepto tu servidor
>> de smtp y el usuario root, nadie más pueda acceder al puerto 25/tcp
>> saliente.
>>
>> iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT
>> iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix
>> -j ACCEPT
>> iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman
>> -j ACCEPT
>> iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j
>> ACCEPT
>> iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with
>> icmp-port-unreachable
>>
>> Claro, con esto no encontrarás al script malicioso, simplemente le
>> bloquearás cualquier intento. Quizá debas usar LOG para guardar los
>> intentos fallidos y tratar de encontrar el uid que está haciendo el
>> intento.
>>
>>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Alex ( Servtelecom )

Acabo de aplicar esta regla en mi iptables a ver que pasa, en este 
servidor solo tengo wordpress instalado y actualizado a la ultima, 
igualmente lo revisare por si acaso.


Me aconsejas que pase el clamav en todo el servidor?
descarto mala configuración de dovecot o postfix?

he mirado el erro exacto, os lo pongo aquí:

550 SC-002 - Correo rechazado por Outlook.com en virtud de sus 
directivas. La IP del servidor de correo que está conectando con 
Outlook.com ha mostrado un comportamiento de minería de espacio de 
nombres. Si no eres administrador de correo o de red, ponte en contacto 
con tu proveedor de acceso a correo o Internet para obtener ayuda.


Utilizo fail2ban como complemento, crees que se puede aplicar algun 
extra para que lo detecte y lo frene fail2ban?


También he visto que se puede proteger para que solo los dominios que 
hay registrados en postfix y los usuarios validos puedan mandar correos, 
si estas autentificado pero tratas de que se envie con una dirección que 
no es la que hay registradas en postfix entonces no lo enviá. (ejemplo, 
tienes dominio.com y quieres que se envie, desde una web como 
dominio2.com). Esto como se puede hacer ya que creo que en mi 
configuración no lo he visto y si que alguna vez he tenido problemas de 
este tipo.



Gracias por tu ayuda!

---


Firma Alexandre Andreu Cases - Servtelecom
El 13/12/16 a las 13:09, Ernesto Pérez Estévez escribió:

On 13/12/16 07:00, Ernesto Pérez Estévez wrote:

En mi caso cuando lo he tenido lo he logrado controlar a través del uso
de iptables, pero te cuento luego porque no es tan fácil.


Si el problema ocurre DESDE tu servidor, posiblemente debes buscar la
opción de bloquear el acceso a los scripts al puerto 25/tcp saliente.

Esto es en caso de que tus aplicaciones web corran bajo otro usuario que
no sea root. Ejemplo: si cada sitio virtual corre bajo un UID diferente,
entonces puedes aplicar reglas de iptables para que, excepto tu servidor
de smtp y el usuario root, nadie más pueda acceder al puerto 25/tcp
saliente.

iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j
ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with
icmp-port-unreachable

Claro, con esto no encontrarás al script malicioso, simplemente le
bloquearás cualquier intento. Quizá debas usar LOG para guardar los
intentos fallidos y tratar de encontrar el uid que está haciendo el intento.



___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Roberto Bermúdez

Estimados listeros, yo también les agradecería una ayuda al respecto,
porque tampoco puedo mandar correos a esos dominios, al principio pensé que
era porque mi proxi tenía su IP en listas negras (aunque la IP de mi
servidor de correo no estaba en listas negras) ahora ya tengo dos meses que
todas mis IP están limpias pero aun no se puede mandar correos a dichos
dominios, muchas gracias

El dic 13, 2016 6:49 AM, "Alex ( Servtelecom )" 
escribió:

> Hola compañeros, hotmail y outlook.com me frenan mis correos y después de
> mucho indagar me sueltan que mi servidor esta configurado para que se
> puedan generar Namespace y no se como evitar esto, hasta ahora no me había
> pasado nunca pero me gustaría saber por donde empiezo?
> que información necesitáis para que me podáis ayudar?
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Ernesto Pérez Estévez

On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
> En mi caso cuando lo he tenido lo he logrado controlar a través del uso
> de iptables, pero te cuento luego porque no es tan fácil.
> 

Si el problema ocurre DESDE tu servidor, posiblemente debes buscar la
opción de bloquear el acceso a los scripts al puerto 25/tcp saliente.

Esto es en caso de que tus aplicaciones web corran bajo otro usuario que
no sea root. Ejemplo: si cada sitio virtual corre bajo un UID diferente,
entonces puedes aplicar reglas de iptables para que, excepto tu servidor
de smtp y el usuario root, nadie más pueda acceder al puerto 25/tcp
saliente.

iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j
ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with
icmp-port-unreachable

Claro, con esto no encontrarás al script malicioso, simplemente le
bloquearás cualquier intento. Quizá debas usar LOG para guardar los
intentos fallidos y tratar de encontrar el uid que está haciendo el intento.

-- 
CEDIA
La principal herramienta de Investigación en el Ecuador.

Calle La Condamine 12-109 "Casa Rivera".
Cuenca -  Ecuador
Telf: (593) 7405 1000 Ext. 4220/4223
i...@cedia.org.ec
www.cedia.org.ec

Email secured by Check Point
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Ernesto Pérez Estévez

On 13/12/16 06:49, Alex ( Servtelecom ) wrote:
> Hola compañeros, hotmail y outlook.com me frenan mis correos y después
> de mucho indagar me sueltan que mi servidor esta configurado para que se
> puedan generar Namespace y no se como evitar esto, hasta ahora no me
> había pasado nunca pero me gustaría saber por donde empiezo?
> que información necesitáis para que me podáis ayudar?
> 

Busquemos info sobre el namespace mining primero y enterémonos de lo que
es:

El problema es al revés, tu servidor está corriendo un script o malware
intentando averiguar direcciones de correo válidas donde ellos.

Eso es namespace mining. Es una técnica que tiene su edad y que ahora
tratan de dispersar mandando a servidores comprometidos a realizar esta
acción, cargando estos servidores con la culpa del ataque, quedando el
atacante limpio de polvo y paja en sus propios servidores.

http://serverfault.com/questions/625853/prevent-stop-namespace-mining

Ahora sí, te toca buscar el script malicioso. Claro, esto se dice fácil
pero posiblemente incluso no lo encuentres en el servidor pues el
atacante puede mandarlo a descargar a través de un sistema
desactualizado (típicamente joomla o wordpress o un módulo de ellos) o
de un sistema que utiliza claves débiles..  y entonces ejecuta al script
y luego de ejecutarlo un tiempo lo manda a borrar y luego de unas horas
o días vuelve a hacer el mismo procedimiento. Inteligente verdad?

Es una patada el encontrar el sistema con problemas.. esos son los días
en que quieres echar todo a la basura y dedicarte a la ornitología o al
cuidado de elefantes... te lo juro.

En mi caso cuando lo he tenido lo he logrado controlar a través del uso
de iptables, pero te cuento luego porque no es tan fácil.

-- 
CEDIA
La principal herramienta de Investigación en el Ecuador.

Calle La Condamine 12-109 "Casa Rivera".
Cuenca -  Ecuador
Telf: (593) 7405 1000 Ext. 4220/4223
i...@cedia.org.ec
www.cedia.org.ec

Email secured by Check Point
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

[CentOS-es] Namespace en postfix / dovecot

2016-12-13 Por tema Alex ( Servtelecom )

Hola compañeros, hotmail y outlook.com me frenan mis correos y después 
de mucho indagar me sueltan que mi servidor esta configurado para que se 
puedan generar Namespace y no se como evitar esto, hasta ahora no me 
había pasado nunca pero me gustaría saber por donde empiezo?

que información necesitáis para que me podáis ayudar?

___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

Re: [CentOS-es] Namespace en postfix / dovecot

[CentOS-es] Namespace en postfix / dovecot

13 matches

Site Navigation

Mail list logo

Footer information