RES: [GTER] Problema em cache

Cassiano Aquino caquino at ebrain.com.br
Thu Apr 7 07:58:50 -03 2005


Nem somente o CONNECT, muitos spammers se utilizam do fato de que muito
servidores smtp nao barram erros no procolo e mandam emails até via
post.. jogando algo como
POST smtp.cliente.com.br:25 HTTP/1.0

helo fake
mail from: ...

por isso acabei implementando filtros aqui que derrubam a sessão smtp
após o segundo comando errado para evitar este tipo de problema.


On Wed, 2005-04-06 at 16:19 -0300, Antonio Carlos Pina wrote:

> Meu caro,
> 
> O problema não é porta 25. Se a porta 80 ou 3128 ou qualquer outra estiver
> aberta para fora, o Spammer se conectará nela e enviará SPAM.
> 
> O problema é o CONNECT estar habilitado para fora.
> 
> É uma confusão comum achar que a porta 25 tem algo a ver com Spam através de
> proxies.
> 
> []s,
> Pina
> 
> 
> ----- Original Message ----- 
> From: "Elio" <elio at bragnet.com.br>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>; <aquino at ECOSISTEMAS.COM.BR>
> Sent: Wednesday, April 06, 2005 4:15 PM
> Subject: RES: RES: [GTER] Problema em cache
> 
> 
> > Bem creio que estas normas foram seguidas:
> > Porta 25 fechada, não tem serviço SMTP abertoPatches atualizados.
> > O problema me parece ser buscar uma forma de descobrir qual cliente dessa
> > máquina a usa para sair.
> >
> > Elio
> >
> > -----Mensagem original-----
> > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]Em
> > nome de MARLON BORBA
> > Enviada em: quarta-feira, 6 de abril de 2005 14:20
> > Para: aquino at ECOSISTEMAS.COM.BR; gter at eng.registro.br
> > Assunto: Re: RES: [GTER] Problema em cache
> >
> >
> > Já verificou se sua máquina não possui esquecido um serviço SMTP aberto
> para
> > a Internet? Se seu "proxy" Web não está sendo usado como "relay" (através
> de
> > URLs cuidadosamente construídas é possível até fazer com que o Squid aja
> > como um MX)? Se ela não foi comprometida por alguma vulnerabilidade?
> >
> > Quanto aos "logs" do "proxy", a configuração deve permitir que se adicione
> o
> > endereço de origem do cliente (embora este possa ser, também, algum
> > equipamento "ownado").
> >
> > De qualquer forma esteja certo de ter atualizado o "software" dessa
> máquina
> > com as versões e/ou correções mais recentes para garantir que possíveis
> > vulnerabilidades tenham sido cobertas. Isso se aplica a quaisquer pacotes
> > empregados nessa máquina ("proxy", coletores de estatísticas e outros).
> >
> > Em todo caso uma análise do "log" mostraria as requisições chegando ao seu
> > "proxy" e pelo formato destas seria também possível ter uma idéia de como
> o
> > invasor utilizou sua máquina. Há pouco tempo investiguei um caso de
> invasão
> > e constatei que o atacante valeu-se de uma vulnerabilidade no pacote de
> > estatística Awstats para plantar seus executáveis malignos em um
> diretório.
> > Como observei isso? Pelos "logs" do próprio Apache.
> >
> >
> > Abraços,
> > Marlon Borba, CISSP.
> >
> > "Você prefere sua estabilidade hoje ou
> > sua felicidade amanhã?"
> > --Max Gehringer, na CBN.
> >
> > >>> aquino at ECOSISTEMAS.COM.BR 6/4/2005 14:06:37 >>>
> >
> > Ela pode ter sido invadida , voce ja pensou nisso ?
> >
> >  http://www.zone-h.org
> >
> > Lucio
> >
> > -----Mensagem original-----
> > De: Elio [mailto:elio at bragnet.com.br]
> > Enviada em: quarta-feira, 6 de abril de 2005 14:04
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: [GTER] Problema em cache
> >
> >
> >
> > Pessoal reciso de uma luz:
> > No nosso provedor nós fazemos caache de páginas web.
> >
> > Recebi um comunicado do abuse dizendo que esta máquina estava fazendo
> SPAM.
> >
> > Ora, ela só cacheia! Logo, deve ser algum cliente fazendo spam através de
> > alguma página web (ou será que tem outra hipótese?)
> >
> > Desta maneira fica difícil descobrir quem é o cara pois no relatório só
> vou
> > conseguir obter uma porção de endereços web.
> >
> > Então, a pergunta é: alguém teve problema semelhante? Se sim, conseguiu
> > resolver?
> > Ou alguém tem alguma dica?
> >
> > Valeu
> >
> > Elio Somaschini
> >
> > Bragnet
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> >
> > -- 
> > No virus found in this incoming message.
> > Checked by AVG Anti-Virus.
> > Version: 7.0.308 / Virus Database: 266.9.3 - Release Date: 05/04/2005
> >
> >
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list