2010/7/31 Camaleón <[email protected]>: > El Sat, 31 Jul 2010 21:06:23 +0200, Marc Aymerich escribió: > >> 2010/7/31 Marc Aymerich: >>> Durante todo el día un spammer esta dando por el culo a mi servidor de >>> correo. No sé como lo hace pero de alguna forma consigue los passwords >>> de los usuarios y empieza a mandar spam des de su cuenta. El tipo se >>> conecta desde varias ip's pero todas dentro de un rango. Con iptables >>> quería descartar el trafico de ese rango pero desgraciadamente me estoy >>> perdiendo algo: >>> >>> mail:~# iptables -A INPUT -s 82.128.0.0/16 -j DROP iptables v1.4.2: >>> host/network `-s 82.128.0.0' not found Try `iptables -h' or 'iptables >>> --help' for more information. >>> >>> >>> qua hago maaal?¿ >>> >>> >> >> >> Alguien ve la diferencia? >> mail:~# iptables -I INPUT -s 82.128.0.0/16 -j DROP iptables v1.4.2: >> host/network `-s 82.128.0.0' not found Try `iptables -h' or 'iptables >> --help' for more information. mail:~# iptables -I INPUT -s 82.128.0.0/16 >> -j DROP >> >> Porque yo no la veo y una funciona y la otra no :) > > ¿Quizá por el orden de las reglas? > > Con "-A" (append) se añade una regla al final, con -I (insert) se añade > la primera de todas, es decir, es la primera que ejecuta. Quizá tengas > alguna otra regla que invalide (permita el tráfico) la que estabas > añadiendo ahora con "append". >
El problema estaba en el espacio delante de la -s, que no sé como se ha creado pero no es un espacio normal, un regalito del sitio de donde lo he copiado. mail:~# iptables -I INPUT -s 82.128.0.0/16 -j DROP iptables v1.4.2: host/network `-s 82.128.0.0' not found Try `iptables -h' or 'iptables --help' for more information. mail:~# iptables -I INPUT -s 82.128.0.0/16 -j DROP la primera ejecución es la mala con el espacio raro. La segunda la he reescrito a mano y ha funcionado :) Fíjate que iptables se queja de que `-s 82.128.0.0' no es una red valida. y así es, en todo caso debería quejarse de '82.128.0.0' sin el "-s" curioso :) > Personalmente me preocuparía más lo de las contraseñas de los usuarios. > Supongo que las cambiarás ¿no? :-? > jeje, lo primero que he hecho ha sido desactivarlos con un * en el SHA y limpiar el spam de las colas del postfix :). El lunes ya llamaremos a los usuarios para decirles su nuevo password. Justamente entre ayer y hoy hemos recibido un montón de mails "suplantando" el remitente por el de soporte técnico y pidiendo los passwords del correo. seguramente que el spammer ha obtenido los datos por este sistema. Espero que no nos haya metido en alguna lista de spammers :( > Saludos, Saludos ! > > -- > Camaleón > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact [email protected] > Archive: http://lists.debian.org/[email protected] > > -- Marc -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
