On 12/13/2016 12:49 PM, Alex ( Servtelecom ) wrote:
Esta claro que esto solo puede venir por aplicaciones web instaladas en mi servidor no? del exterior no porque lo vería en mis log's de mail.log pero allí no veo nada inusual. Me centro exclusivamente en las web's y solo en ellas no?
Digamos que alguien se hace pasar por ti desde un servidor de un tercero... quizá los rebotes te llegarían a tí o te bloquearían injustamente. Es una posibilidad.. quizá en este caso lo que debes hacer es configurar SPF y _dmarc en cada dominio. SPF para que le permita a los demás conocer que es una farsa el intento de un tercero, y el _dmarc para que te ayude a recibir reportes y conocer quién envía cosas a tu nombre... no sé, se me ocurre.
Pero me oriento a que sea algo interno, en las web, un script.
Podría ser un script levantado de otra forma (entraron por ssh por ejemplo)... podría ser... no se puede descartar.
Igualmente lo de que solo direcciones validas puedan enviar y direcciones que no estén creadas en mi sistema de postfix no puedan, hay algún manual para que lo pueda aplicar a mi configuración actual? me interesa por si roban un password de alguien no me utilicen para enviar spam que alguna vez me ha pasado...
Eso no me convence tanto, porque el atacante está usando un script, no se apoya en el postfix, sino que el script accede directo al puerto 25/tcp de un servidor remoto...
saludos epe
Gracias por tu ayuda!!
Firma Alexandre Andreu Cases - Servtelecom El 13/12/16 a las 18:44, Miguel González escribió:
On 12/13/16 6:34 PM, Ernesto Pérez Estévez wrote:
On 13/12/16 07:09, Ernesto Pérez Estévez wrote:
On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
En mi caso cuando lo he tenido lo he logrado controlar a través del uso de iptables, pero te cuento luego porque no es tan fácil.
Se me perdió tu mensaje con la pregunta: respecto al fail2ban, es buena idea que lo tengas para evitar que te hagan el mismo tipo de ataques de diccionario al servidor, busca y activa las jaulas para el servidor de pop3, de imap y de smtp que tengas.. también hay jaulas para wordpress y para otros tipos de ataques que buscan claves débiles, etc.
Pero eso no evita que un script ya estè siendo activamente explotado en tu servidor.
Si tienes Wordpress, te recomiendo que instales Wordfence y/o Sucuri y hagas una escaneo de tu Wordpress. Además te sirven para securizarlo.
Saludos
Miguel _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es