[CentOS-es] Namespace en postfix / dovecot

[Ernesto Pérez Estévez]

On 13/12/16 06:49, Alex ( Servtelecom ) wrote:
> Hola compañeros, hotmail y outlook.com me frenan mis correos y después
> de mucho indagar me sueltan que mi servidor esta configurado para que se
> puedan generar Namespace y no se como evitar esto, hasta ahora no me
> había pasado nunca pero me gustaría saber por donde empiezo?
> que información necesitáis para que me podáis ayudar?
> 

Busquemos info sobre el namespace mining primero y enterémonos de lo que
es:

El problema es al revés, tu servidor está corriendo un script o malware
intentando averiguar direcciones de correo válidas donde ellos.

Eso es namespace mining. Es una técnica que tiene su edad y que ahora
tratan de dispersar mandando a servidores comprometidos a realizar esta
acción, cargando estos servidores con la culpa del ataque, quedando el
atacante limpio de polvo y paja en sus propios servidores.

http://serverfault.com/questions/625853/prevent-stop-namespace-mining

Ahora sí, te toca buscar el script malicioso. Claro, esto se dice fácil
pero posiblemente incluso no lo encuentres en el servidor pues el
atacante puede mandarlo a descargar a través de un sistema
desactualizado (típicamente joomla o wordpress o un módulo de ellos) o
de un sistema que utiliza claves débiles..  y entonces ejecuta al script
y luego de ejecutarlo un tiempo lo manda a borrar y luego de unas horas
o días vuelve a hacer el mismo procedimiento. Inteligente verdad?

Es una patada el encontrar el sistema con problemas.. esos son los días
en que quieres echar todo a la basura y dedicarte a la ornitología o al
cuidado de elefantes... te lo juro.

En mi caso cuando lo he tenido lo he logrado controlar a través del uso
de iptables, pero te cuento luego porque no es tan fácil.

-- 
CEDIA
La principal herramienta de Investigación en el Ecuador.

Calle La Condamine 12-109 "Casa Rivera".
Cuenca -  Ecuador
Telf: (593) 7405 1000 Ext. 4220/4223
Info en cedia.org.ec
www.cedia.org.ec

Email secured by Check Point