Hola
todo es comprado y actualizado, no suelo utilizar cosas no originales
Igualmente estoy pasando el clamav a ver que encuentra y actualizado todos los wordpress a la ultima. Como puedo saber si mi problema se ha solucionado
Quedo pendiente de respuestas del correo anterior
Firma Alexandre Andreu Cases - Servtelecom El 13/12/16 a las 16:17, Wilmer Arambula escribió:
Si solo usas WordPress, has instalado una plantilla no original o algún modulo no original, por allí creo que debes empezar,
Saludos,
Wilmer.
El 13/12/2016 9:50, "Alex ( Servtelecom )" alex.andreu@servtelecom.com escribió:
Acabo de aplicar esta regla en mi iptables a ver que pasa, en este servidor solo tengo wordpress instalado y actualizado a la ultima, igualmente lo revisare por si acaso.
Me aconsejas que pase el clamav en todo el servidor? descarto mala configuración de dovecot o postfix?
he mirado el erro exacto, os lo pongo aquí:
550 SC-002 - Correo rechazado por Outlook.com en virtud de sus directivas. La IP del servidor de correo que está conectando con Outlook.com ha mostrado un comportamiento de minería de espacio de nombres. Si no eres administrador de correo o de red, ponte en contacto con tu proveedor de acceso a correo o Internet para obtener ayuda.
Utilizo fail2ban como complemento, crees que se puede aplicar algun extra para que lo detecte y lo frene fail2ban?
También he visto que se puede proteger para que solo los dominios que hay registrados en postfix y los usuarios validos puedan mandar correos, si estas autentificado pero tratas de que se envie con una dirección que no es la que hay registradas en postfix entonces no lo enviá. (ejemplo, tienes dominio.com y quieres que se envie, desde una web como dominio2.com). Esto como se puede hacer ya que creo que en mi configuración no lo he visto y si que alguna vez he tenido problemas de este tipo.
Gracias por tu ayuda!
Firma Alexandre Andreu Cases - Servtelecom El 13/12/16 a las 13:09, Ernesto Pérez Estévez escribió:
On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
En mi caso cuando lo he tenido lo he logrado controlar a través del uso de iptables, pero te cuento luego porque no es tan fácil.
Si el problema ocurre DESDE tu servidor, posiblemente debes buscar la
opción de bloquear el acceso a los scripts al puerto 25/tcp saliente.
Esto es en caso de que tus aplicaciones web corran bajo otro usuario que no sea root. Ejemplo: si cada sitio virtual corre bajo un UID diferente, entonces puedes aplicar reglas de iptables para que, excepto tu servidor de smtp y el usuario root, nadie más pueda acceder al puerto 25/tcp saliente.
iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
Claro, con esto no encontrarás al script malicioso, simplemente le bloquearás cualquier intento. Quizá debas usar LOG para guardar los intentos fallidos y tratar de encontrar el uid que está haciendo el intento.
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es