On 13/12/16 07:00, Ernesto Pérez Estévez wrote: > En mi caso cuando lo he tenido lo he logrado controlar a través del uso > de iptables, pero te cuento luego porque no es tan fácil. >
Si el problema ocurre DESDE tu servidor, posiblemente debes buscar la opción de bloquear el acceso a los scripts al puerto 25/tcp saliente. Esto es en caso de que tus aplicaciones web corran bajo otro usuario que no sea root. Ejemplo: si cada sitio virtual corre bajo un UID diferente, entonces puedes aplicar reglas de iptables para que, excepto tu servidor de smtp y el usuario root, nadie más pueda acceder al puerto 25/tcp saliente. iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable Claro, con esto no encontrarás al script malicioso, simplemente le bloquearás cualquier intento. Quizá debas usar LOG para guardar los intentos fallidos y tratar de encontrar el uid que está haciendo el intento. -- CEDIA La principal herramienta de Investigación en el Ecuador. Calle La Condamine 12-109 "Casa Rivera". Cuenca - Ecuador Telf: (593) 7405 1000 Ext. 4220/4223 [email protected] www.cedia.org.ec Email secured by Check Point _______________________________________________ CentOS-es mailing list [email protected] https://lists.centos.org/mailman/listinfo/centos-es
