RES: RES: [GTER] Problema em cache
Elio
elio at bragnet.com.br
Wed Apr 6 16:15:56 -03 2005
Bem creio que estas normas foram seguidas:
Porta 25 fechada, não tem serviço SMTP abertoPatches atualizados.
O problema me parece ser buscar uma forma de descobrir qual cliente dessa
máquina a usa para sair.
Elio
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]Em
nome de MARLON BORBA
Enviada em: quarta-feira, 6 de abril de 2005 14:20
Para: aquino at ECOSISTEMAS.COM.BR; gter at eng.registro.br
Assunto: Re: RES: [GTER] Problema em cache
Já verificou se sua máquina não possui esquecido um serviço SMTP aberto para
a Internet? Se seu "proxy" Web não está sendo usado como "relay" (através de
URLs cuidadosamente construídas é possível até fazer com que o Squid aja
como um MX)? Se ela não foi comprometida por alguma vulnerabilidade?
Quanto aos "logs" do "proxy", a configuração deve permitir que se adicione o
endereço de origem do cliente (embora este possa ser, também, algum
equipamento "ownado").
De qualquer forma esteja certo de ter atualizado o "software" dessa máquina
com as versões e/ou correções mais recentes para garantir que possíveis
vulnerabilidades tenham sido cobertas. Isso se aplica a quaisquer pacotes
empregados nessa máquina ("proxy", coletores de estatísticas e outros).
Em todo caso uma análise do "log" mostraria as requisições chegando ao seu
"proxy" e pelo formato destas seria também possível ter uma idéia de como o
invasor utilizou sua máquina. Há pouco tempo investiguei um caso de invasão
e constatei que o atacante valeu-se de uma vulnerabilidade no pacote de
estatística Awstats para plantar seus executáveis malignos em um diretório.
Como observei isso? Pelos "logs" do próprio Apache.
Abraços,
Marlon Borba, CISSP.
"Você prefere sua estabilidade hoje ou
sua felicidade amanhã?"
--Max Gehringer, na CBN.
>>> aquino at ECOSISTEMAS.COM.BR 6/4/2005 14:06:37 >>>
Ela pode ter sido invadida , voce ja pensou nisso ?
http://www.zone-h.org
Lucio
-----Mensagem original-----
De: Elio [mailto:elio at bragnet.com.br]
Enviada em: quarta-feira, 6 de abril de 2005 14:04
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: [GTER] Problema em cache
Pessoal reciso de uma luz:
No nosso provedor nós fazemos caache de páginas web.
Recebi um comunicado do abuse dizendo que esta máquina estava fazendo SPAM.
Ora, ela só cacheia! Logo, deve ser algum cliente fazendo spam através de
alguma página web (ou será que tem outra hipótese?)
Desta maneira fica difícil descobrir quem é o cara pois no relatório só vou
conseguir obter uma porção de endereços web.
Então, a pergunta é: alguém teve problema semelhante? Se sim, conseguiu
resolver?
Ou alguém tem alguma dica?
Valeu
Elio Somaschini
Bragnet
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list