[AsteriskBrasil] root recebendo e-mails indevidos em /var/mail
Edson Gellert Schubert
egschubert em gmail.com
Segunda Dezembro 12 11:14:54 BRT 2005
Josué,
Também tenho e uso o SuSE nas minhas instalações... ótima escolha...;)
Bem, primeiro o grande número de processos no seu ‘ps –aux’: A interpretação
do Gabriel pode até ser correta, mas as informações que vc postou não são
suficientes para corroborar as afirmações. Para descobrir o processo
pai/origem de tantos e-mails melhor tentar acompanhar na própria conta de
e-mail do root da máquina (execute ‘mail’ e veja as mensagens enviadas prô
root da máquina). O que me parece é que estes processos são originados no
próprio Asterisk, mas o Postfix não está obtendo autorização de envio. Daí
eles ficam ‘pendurados’.... reveja as configurações do Asterisk e do
servidor SMTP do domínio que estás usando... Outra coisa: estes e-mails não
vem do CRON?
Quanto a parte de IPTABLES, somente o comando ‘iptables –L’ não diz muita
coisa... use _sempre_ ‘iptables –t nat –nvL; iptables –nvL’ quando for
postar regras em uma lista. Veja a listagem do chain INPUT, p.ex., a POLICY
está em DROP (legal), mas as duas primeiras regras fazem ACCEPT de tudo de
ANYWHERE prá ANYWHERE, ou seja, sobrepõe-se à POLICY anulando-a...
Boa sorte no entendimento do sistema...
Edson.
_____
From: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] On Behalf Of Josué
Conti
Sent: domingo, 11 de dezembro de 2005 22:59
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] root recebendo e-mails indevidos em /var/mail
Muito obrigado e um abraço
Josué
Em 11/12/05, Gabriel Sartor <gabrielsartor em gmail.com> escreveu:
Aparentemente está sim !
Abraços.
Em 11/12/05, Josué Conti <josueconti em gmail.com > escreveu:
Gabriel, boa noite.
Meu iptables -L está assim:
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere linux.site multiport dports
ssh,https,sip,4569
ACCEPT udp -- anywhere linux.site multiport dports
sip,4569,ntp
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp
echo-request limit: avg 5/sec burst 5
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Está correto?
Desde já agradeço sua atenção
Em 11/12/05, Gabriel Sartor <gabrielsartor em gmail.com > escreveu:
Bom uma boa dica é você fechar todas a portas:
iptables -P INPUT DROP
e ir abrindo as portas que você usa, por exemplo ssh, etc.
e se possivel abrir essas portas da forma mais especifica possivel, como por
exemplo a porta 22 (ssh) abra ela somente para o seu ip, caso ele seja fixo,
e assim vai.
Agora uns patchs bons para dar uma incrementada na segurança da maquina você
pode encontrar em:
http://bastille-linux.sourceforge.net
<http://bastille-linux.sourceforge.net/>
http://www.openwall.com/linux
http://www.lids.org <http://www.lids.org/>
Antes de instala-los de uma lida no README deles, etc. para não fazer
nenhuma cagada.
procure algo na internet também, pois existem inumeros docs a respeito de
segurança, pathcs,etc.
leia também sempre os logs para ver tudo que está acontecendo na sua
maquina.
Espero ter ajudado. Abraços.
Em 10/12/05, Josué Conti <josueconti em gmail.com > escreveu:
Bom dia Gabriel, tudo bem?
Então, utilizo o SUSE 9.2, e nele está instalado o Asterisk 1.0.9, ele envia
e-mails com mensagens de voice-mail, preciso que este serviço funcione,tenho
que desabilitar o postfix? Como faço o UpGrade que vc disse? Como patchear o
kernel?
Agradeço sua atenção.
Abraço
Josué
Em 10/12/05, Gabriel Sartor <gabrielsartor em gmail.com > escreveu:
Bom os logs abaixo, mostrão que o postfix (servidor de email/smtp) está
rodando no seu servidor. Caso você não esteja rodando o postfix, para servir
como smtp, alguem possivelmente o rodou, e pelo que tudo indica deve estar
usando sua maquina para enviar spam.
Verifique todos os aplicativos que estão rodando na sua maquina e de um
upgrade nela, é bom também patchear o kernel. Matendo todos processos
atualizados não tem erro, ninguem te invade.
Abraços.
Em 10/12/05, Josué Conti <josueconti em gmail.com > escreveu:
Pessoal, bom dia.
Após executar um ps -aux, notei que apareceram varias conexões como estas
abaixo, isso é algum ataque?Algum tipo de problema?Tenho um link de internet
com IP valido no asterisk, mas fiz umas regrinhas no iptables, alguem
poderia me ajudar?
Agradeço desde já toda a atenção dada.
postfix 18522 0.0 0.1 4368 1672 ? S 21:45 0:00 smtp -t unix -u
postfix 22822 0.0 0.1 4260 1492 ? S 21:53 0:00 pickup -l -t fifo -u
postfix 22947 0.1 0.1 4784 1840 ? S 22:02 0:00 trivial-rewrite -n rewrite -t
unix
postfix 22955 0.0 0.1 4368 1648 ? S 22:02 0:00 smtp -t unix -u
postfix 22957 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 22961 0.0 0.1 4368 1640 ? S 22:02 0:00 smtp -t unix -u
postfix 22962 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 22963 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 22964 0.0 0.1 4368 1640 ? S 22:02 0:00 smtp -t unix -u
postfix 22967 0.0 0.1 4368 1648 ? S 22:02 0:00 smtp -t unix -u
postfix 22976 0.0 0.1 4368 1656 ? S 22:02 0:00 smtp -t unix -u
postfix 22981 0.0 0.1 4368 1652 ? S 22:02 0:00 smtp -t unix -u
postfix 22991 0.0 0.1 4368 1648 ? S 22:02 0:00 smtp -t unix -u
postfix 22992 0.0 0.1 4368 1604 ? S 22:02 0:00 smtp -t unix -u
postfix 22993 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 22996 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 23000 0.0 0.1 4368 1652 ? S 22:02 0:00 smtp -t unix -u
postfix 23004 0.0 0.1 4368 1648 ? S 22:02 0:00 smtp -t unix -u
postfix 23015 0.0 0.1 4368 1644 ? S 22:02 0:00 smtp -t unix -u
postfix 23020 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 23025 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 23026 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 23027 0.0 0.1 4368 1652 ? S 22:02 0:00 smtp -t unix -u
postfix 23028 0.0 0.1 4368 1648 ? S 22:02 0:00 smtp -t unix -u
postfix 23030 0.0 0.1 4368 1648 ? S 22:02 0:00 smtp -t unix -u
postfix 23040 0.0 0.1 4368 1632 ? S 22:02 0:00 smtp -t unix -u
postfix 23041 0.0 0.1 4368 1664 ? S 22:02 0:00 smtp -t unix -u
postfix 23046 0.0 0.1 4368 1656 ? S 22:02 0:00 smtp -t unix -u
postfix 23050 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 23052 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 23053 0.0 0.1 4368 1652 ? S 22:02 0:00 smtp -t unix -u
postfix 23057 0.0 0.1 4368 1656 ? S 22:02 0:00 smtp -t unix -u
postfix 23058 0.0 0.1 4368 1636 ? S 22:02 0:00 smtp -t unix -u
postfix 23067 0.0 0.1 4276 1472 ? S 22:03 0:00 bounce -z -n defer -t unix -u
postfix 23068 0.0 0.1 4276 1468 ? S 22:03 0:00 bounce -z -n defer -t unix -u
postfix 23069 0.0 0.1 4276 1472 ? S 22:03 0:00 bounce -z -n defer -t unix -u
postfix 23070 0.0 0.1 4276 1472 ? S 22:03 0:00 bounce -z -n defer -t unix -u
postfix 23071 0.0 0.1 4276 1468 ? S 22:03 0:00 bounce -z -n defer -t unix -u
postfix 23072 0.0 0.1 4276 1468 ? S 22:03 0:00 bounce -z -n defer -t unix -u
postfix 23073 0.0 0.1 4276 1468 ? S 22:03 0:00 bounce -z -n defer -t unix -u
root 23074 0.1 0.2 8332 2560 ? Ss 22:05 0:00 sshd: root em pts/0
root 23077 0.0 0.1 2924 1848 pts/0 Ss 22:05 0:00 -bash
postfix 23095 0.0 0.1 4276 1504 ? S 22:06 0:00 bounce -z -t unix -u
postfix 23096 0.0 0.1 4276 1456 ? S 22:06 0:00 bounce -z -t unix -u
postfix 23097 0.0 0.1 4944 1896 ? S 22:06 0:00 cleanup -z -t unix -u
postfix 23098 0.0 0.1 4484 1824 ? S 22:06 0:00 local -t unix
root 23101 0.0 0.0 2360 836 pts/0 R+ 22:06 0:00 ps -aux
_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
Acesse o wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org <http://www.asteriskbrasil.org/>
_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
Acesse o wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org <http://www.asteriskbrasil.org/>
_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
Acesse o wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org <http://www.asteriskbrasil.org/>
_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
Acesse o wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org <http://www.asteriskbrasil.org/>
_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
Acesse o wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org <http://www.asteriskbrasil.org/>
_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
Acesse o wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org <http://www.asteriskbrasil.org/>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20051212/1edf2784/attachment-0001.html
Mais detalhes sobre a lista de discussão AsteriskBrasil