Alberto Rivera <[EMAIL PROTECTED]> wrote:
> Miguel Oyarzo O. wrote:
> > At 16:06 07/02/2008, Alberto Rivera wrote:
> >> Satara Plaza wrote:
> >>> Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede
> >>> que hoy
> >>> revise el cisco y me encontre que las luces de TxRX estaban como
> >>> locas , no
> >>> usual como de costumbre. Por lo que fui a mi servidor (Debian
> >>> etch, squid
> >>> transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp,
> >>> apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0
> >>> para la Wan
> >>> con ip fija de entel, eth1para la Lan) , y lo revise con :
> >>>
> >> me parece que son muchos servicios en una sola máquina, en lo
> >> personal no se me ocurrirÃa correr el squid con el servidor de
> >> correo o el bind, pero esa es la gracia de esto =) ...
> >> bueno te comento que obviamente esos mensaje son del bind ya que
> >> ese es el que trabaja en el 59 UDP, pero en realidad puede ser por
> >> varias cosas, primero te pueden
> > de que hablas ....
> > en la salida iptraf mostrada dice
> > UDP (59 bytes) - nada que ver con puerta UDP 59
> > (bind trabaja en el 53/UDP para resolucion... y otra para
> > trasferencias de zonas)
DNS usa 53 UDP normalmente, si la respuesta no cabe en un datagrama UDP,
usa TCP 53. Y el trafico es UDP, dirigido a MI_DOMINIO:domain (supongo que
MI_DOMINIO esta editado...).
[...]
> >> el bind esta abierto a conexiones exteriores y están resolviendo
> >> con tu bind,
> > No creo. Solo hay trafico en una direccion y todos los paquetes de >
> > entrada tienen el mismo tamanio. No es el patron esperable de algo asi.
Revisa con wireshark que trafico es!
[...]
> > No, el trafico entrante observado es directo hacia la puerta 53 del dns
> > ademas, no se envian mensajes a travez de un dominio (no tiene
> > sentido).
Bueh... como los "inteligentes" administradores de cortafuegos solo dejan
pasar HTTP y DNS, le tenimos arquitecturas inteligentes a la SOAP... hasta
hay un RFC que describe como encapsular IP en HTTP ;-) Y no es tan raro que
ciertas porquerias usen DNS para controlar a sus zombies.
> pero pueden estar haciendo spam desde la máquina o en realidad
> utilizandola para spam y resolver por eso la cantidad de mensajes del
> dns...
Eso no explica porque consultan solo alli. Claro, puede ser simplemente
algun DHCP tarado que distribuye un resolv.conf funado a una gran red de
clientes, haciendo que intenten consultar alli...
> o pueden incluso una de las máquinas de la lan tener un virus
> que este haciendo esta función ... como se está controlando el acceso
> interno ¿?
El trafico viene de /afuera/...
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Sat Feb 9 19:16:33 2008
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Sat Feb 9 19:47:08 2008
Subject: Sobre PostgreSQL
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
El 8/02/08, Alvaro Herrera <[EMAIL PROTECTED]> escribió:
> Rodrigo Fuentealba escribió:
> >
> > Mira, phpPgAdmin no es lo mejor que hay. Yo lo miro con harto
> > desprecio, porque no está muy revisado y tiene hartas fallas de
> > seguridad y el diseño podría ser mejor, pero funciona.
>
> ¿Tiene pifias de seguridad? ¿Conoces detalles? No me cabe duda que a
> los desarrolladores les gustaría saber.
Encontré hace un tiempo un par de errores que permitían imprimir el
archivo de configuración, envié un e-mail con eso y la reproducción
del error, pero quedó en el limbo. No vi si lo habrán arreglado,
porque después de esperar un "ok, thanks" o un "no, that works, you
are wrong" por un mes (y el no cambio de versión), me cambié a PgAdmin
III y adopté el procedimiento descrito anteriormente: usar ssl, vpn o
un túnel ssh.
Me dio la impresión de que no estaba muy revisado, y lo comenté con un
par de amigos, de hecho me dijeron algo parecido.
Lo veo y si es que no lo han arreglado, reenvio el parche.
Saludos,
--
Rodrigo Fuentealba
