[CentOS-es] Namespace en postfix / dovecot
Alex ( Servtelecom )
alex.andreu en servtelecom.com
Mie Dic 14 08:17:00 UTC 2016
Tema cerrado!
Solucione mis problemas gracias a ti! Implemente Wordfence en todos mis
sitios, solo en uno encontró un archivo llamado test-...php que supongo
que seria el malo ya que no encontró nada más. Implemente tus reglas en
el firewall y contacte con hotmail para que levantaran el bloqueo.
Utilice el iptraf-ng para monitorizar que no habian más conexiones raras
en mi servidor.
Es un tema difícil como ya comentaste ya que no muestra log's ni revotes
al no utilizar direcciones de tu propios dominios.
Gracias! eres un crack! :)
Firma Alexandre Andreu Cases - Servtelecom
El 13/12/16 a las 19:52, Ernesto Pérez Estévez escribió:
> On 12/13/2016 12:49 PM, Alex ( Servtelecom ) wrote:
>> Esta claro que esto solo puede venir por aplicaciones web instaladas en
>> mi servidor no? del exterior no porque lo vería en mis log's de mail.log
>> pero allí no veo nada inusual. Me centro exclusivamente en las web's y
>> solo en ellas no?
> Digamos que alguien se hace pasar por ti desde un servidor de un
> tercero... quizá los rebotes te llegarían a tí o te bloquearían
> injustamente. Es una posibilidad.. quizá en este caso lo que debes hacer
> es configurar SPF y _dmarc en cada dominio. SPF para que le permita a
> los demás conocer que es una farsa el intento de un tercero, y el _dmarc
> para que te ayude a recibir reportes y conocer quién envía cosas a tu
> nombre... no sé, se me ocurre.
>
> Pero me oriento a que sea algo interno, en las web, un script.
>
> Podría ser un script levantado de otra forma (entraron por ssh por
> ejemplo)... podría ser... no se puede descartar.
>
>> Igualmente lo de que solo direcciones validas puedan enviar y
>> direcciones que no estén creadas en mi sistema de postfix no puedan, hay
>> algún manual para que lo pueda aplicar a mi configuración actual? me
>> interesa por si roban un password de alguien no me utilicen para enviar
>> spam que alguna vez me ha pasado...
> Eso no me convence tanto, porque el atacante está usando un script, no
> se apoya en el postfix, sino que el script accede directo al puerto
> 25/tcp de un servidor remoto...
>
> saludos
> epe
>
>
>
>> Gracias por tu ayuda!!
>>
>> Firma Alexandre Andreu Cases - Servtelecom
>> El 13/12/16 a las 18:44, Miguel González escribió:
>>> On 12/13/16 6:34 PM, Ernesto Pérez Estévez wrote:
>>>> On 13/12/16 07:09, Ernesto Pérez Estévez wrote:
>>>>> On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
>>>>>> En mi caso cuando lo he tenido lo he logrado controlar a través del
>>>>>> uso
>>>>>> de iptables, pero te cuento luego porque no es tan fácil.
>>>>>>
>>>> Se me perdió tu mensaje con la pregunta: respecto al fail2ban, es buena
>>>> idea que lo tengas para evitar que te hagan el mismo tipo de ataques de
>>>> diccionario al servidor, busca y activa las jaulas para el servidor de
>>>> pop3, de imap y de smtp que tengas.. también hay jaulas para wordpress y
>>>> para otros tipos de ataques que buscan claves débiles, etc.
>>>>
>>>> Pero eso no evita que un script ya estè siendo activamente explotado en
>>>> tu servidor.
>>>>
>>>>
>>>>
>>>>
>>> Si tienes Wordpress, te recomiendo que instales Wordfence y/o Sucuri y
>>> hagas una escaneo de tu Wordpress. Además te sirven para securizarlo.
>>>
>>> Saludos
>>>
>>> Miguel
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> https://lists.centos.org/mailman/listinfo/centos-es
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> https://lists.centos.org/mailman/listinfo/centos-es
>
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
Más información sobre la lista de distribución CentOS-es