[CentOS-es] Namespace en postfix / dovecot
Ernesto Pérez Estévez
ernesto.perez en cedia.org.ec
Mar Dic 13 12:09:31 UTC 2016
On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
> En mi caso cuando lo he tenido lo he logrado controlar a través del uso
> de iptables, pero te cuento luego porque no es tan fácil.
>
Si el problema ocurre DESDE tu servidor, posiblemente debes buscar la
opción de bloquear el acceso a los scripts al puerto 25/tcp saliente.
Esto es en caso de que tus aplicaciones web corran bajo otro usuario que
no sea root. Ejemplo: si cada sitio virtual corre bajo un UID diferente,
entonces puedes aplicar reglas de iptables para que, excepto tu servidor
de smtp y el usuario root, nadie más pueda acceder al puerto 25/tcp
saliente.
iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman
-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j
ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with
icmp-port-unreachable
Claro, con esto no encontrarás al script malicioso, simplemente le
bloquearás cualquier intento. Quizá debas usar LOG para guardar los
intentos fallidos y tratar de encontrar el uid que está haciendo el intento.
--
CEDIA
La principal herramienta de Investigación en el Ecuador.
Calle La Condamine 12-109 "Casa Rivera".
Cuenca - Ecuador
Telf: (593) 7405 1000 Ext. 4220/4223
Info en cedia.org.ec
www.cedia.org.ec
Email secured by Check Point
Más información sobre la lista de distribución CentOS-es