RES: [GTER] Problema em cache
Antonio Carlos Pina
apina at infolink.com.br
Wed Apr 6 16:19:37 -03 2005
Meu caro,
O problema não é porta 25. Se a porta 80 ou 3128 ou qualquer outra estiver
aberta para fora, o Spammer se conectará nela e enviará SPAM.
O problema é o CONNECT estar habilitado para fora.
É uma confusão comum achar que a porta 25 tem algo a ver com Spam através de
proxies.
[]s,
Pina
----- Original Message -----
From: "Elio" <elio at bragnet.com.br>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>; <aquino at ECOSISTEMAS.COM.BR>
Sent: Wednesday, April 06, 2005 4:15 PM
Subject: RES: RES: [GTER] Problema em cache
> Bem creio que estas normas foram seguidas:
> Porta 25 fechada, não tem serviço SMTP abertoPatches atualizados.
> O problema me parece ser buscar uma forma de descobrir qual cliente dessa
> máquina a usa para sair.
>
> Elio
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]Em
> nome de MARLON BORBA
> Enviada em: quarta-feira, 6 de abril de 2005 14:20
> Para: aquino at ECOSISTEMAS.COM.BR; gter at eng.registro.br
> Assunto: Re: RES: [GTER] Problema em cache
>
>
> Já verificou se sua máquina não possui esquecido um serviço SMTP aberto
para
> a Internet? Se seu "proxy" Web não está sendo usado como "relay" (através
de
> URLs cuidadosamente construídas é possível até fazer com que o Squid aja
> como um MX)? Se ela não foi comprometida por alguma vulnerabilidade?
>
> Quanto aos "logs" do "proxy", a configuração deve permitir que se adicione
o
> endereço de origem do cliente (embora este possa ser, também, algum
> equipamento "ownado").
>
> De qualquer forma esteja certo de ter atualizado o "software" dessa
máquina
> com as versões e/ou correções mais recentes para garantir que possíveis
> vulnerabilidades tenham sido cobertas. Isso se aplica a quaisquer pacotes
> empregados nessa máquina ("proxy", coletores de estatísticas e outros).
>
> Em todo caso uma análise do "log" mostraria as requisições chegando ao seu
> "proxy" e pelo formato destas seria também possível ter uma idéia de como
o
> invasor utilizou sua máquina. Há pouco tempo investiguei um caso de
invasão
> e constatei que o atacante valeu-se de uma vulnerabilidade no pacote de
> estatística Awstats para plantar seus executáveis malignos em um
diretório.
> Como observei isso? Pelos "logs" do próprio Apache.
>
>
> Abraços,
> Marlon Borba, CISSP.
>
> "Você prefere sua estabilidade hoje ou
> sua felicidade amanhã?"
> --Max Gehringer, na CBN.
>
> >>> aquino at ECOSISTEMAS.COM.BR 6/4/2005 14:06:37 >>>
>
> Ela pode ter sido invadida , voce ja pensou nisso ?
>
> http://www.zone-h.org
>
> Lucio
>
> -----Mensagem original-----
> De: Elio [mailto:elio at bragnet.com.br]
> Enviada em: quarta-feira, 6 de abril de 2005 14:04
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: [GTER] Problema em cache
>
>
>
> Pessoal reciso de uma luz:
> No nosso provedor nós fazemos caache de páginas web.
>
> Recebi um comunicado do abuse dizendo que esta máquina estava fazendo
SPAM.
>
> Ora, ela só cacheia! Logo, deve ser algum cliente fazendo spam através de
> alguma página web (ou será que tem outra hipótese?)
>
> Desta maneira fica difícil descobrir quem é o cara pois no relatório só
vou
> conseguir obter uma porção de endereços web.
>
> Então, a pergunta é: alguém teve problema semelhante? Se sim, conseguiu
> resolver?
> Ou alguém tem alguma dica?
>
> Valeu
>
> Elio Somaschini
>
> Bragnet
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> No virus found in this incoming message.
> Checked by AVG Anti-Virus.
> Version: 7.0.308 / Virus Database: 266.9.3 - Release Date: 05/04/2005
>
>
More information about the gter
mailing list