[MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre ataque cracker

Carlos Alberto Greco carlos at greco.com.br
Sun Sep 19 19:20:24 BRT 2010 

Caro Alexandre 

Quando greylist esta ativado ele deve aparecer no log assim 
Sep 19 19:17:25 mta3 postfix/smtpd[26806]: NOQUEUE: reject: RCPT from asell.zzz.com[212.90.105.66]: 450 4.2.0 <sabrina at xxx.com.br>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/xxx.com.br.html; from=<1-268015-xxx.com.br?sabrina at asell.zzz.com> to=<sabrina at xxx.com.br> proto=SMTP helo=<asell.lojaatualnews.com> 

Greco 

----- Mensagem original ----- 
De: "Alexandre Gorges" <algorges at gmail.com> 
Para: "Lista Masoch" <masoch-l at eng.registro.br> 
Enviadas: Domingo, 19 de Setembro de 2010 19:14:52 (GMT-0300) Auto-Detected 
Assunto: Re: [MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre ataque cracker 

Eu acho que esse caso de ataque de exploit foi outro caso. 
O problema dos emails é outro e ainda permanece. Verifiquei os logs antigos 
e vi que agora a locaweb aponta o seu mx para apenas um endereço. Agora 
parece existir um controle por greylist. Vejam alguns emails na minha fila, 
esse é o problema que vem acontecendo na demora de envio de emails para 
clientes que hospedam na locaweb. 

(host mx.a.locaweb.com.br[186.202.4.42] said: 450 4.7.1 
<contato at xxxxx.com.br>: Recipient address rejected: you are sending too many 
mails, slow down... (in reply to RCPT TO command)) 
(host mx.a.locaweb.com.br[186.202.4.42] said: 450 4.7.1 <xxxx at xxxx.com.br>: 
Recipient address rejected: you are sending too many mails, slow down... (in 
reply to RCPT TO command)) 
(host mx.a.locaweb.com.br[186.202.4.42] said: 450 4.7.1 <xxxx at xxxxx.com.br>: 
Recipient address rejected: you are sending too many mails, slow down... (in 
reply to RCPT TO command)) 



[]'s 
Alexandre Gorges 
http://www.google.com.br/profiles/algorges 
MSN/Skype: alexandre at dag.net.br 
ICQ: 2031408 




> From: Jean Marcel Vosch <jean.vosch at gmail.com> 
> Reply-To: Lista Masoch <masoch-l at eng.registro.br> 
> Date: Sun, 19 Sep 2010 15:59:15 -0300 
> To: Lista Masoch <masoch-l at eng.registro.br> 
> Subject: Re: [MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre 
> ataque cracker 
> 
> Prepotente foi a Locaweb ao não informar corretamente seus usuários. 
> 
> Em 19 de setembro de 2010 15:09, Marcelo M. Fleury 
> <marcelomf at gmail.com>escreveu: 
> 
>> È muita prepotência dizer que a locaweb é amadora. Um dos serviços da 
>> locaweb foi comprometido, em questão de horas os serviços foram 
>> normalizados 
>> e isso sim é bom. 
>> 
>> Procure por domínios de grandes provedores aqui: 
>> http://www.zone-h.com/archive 
>> 
>> terra, uol... todos já foram vitimas. O que a locaweb passou, qualquer um 
>> pode passar, tal como já aconteceu com nasa, m$ e etc(e estamos falando 
>> apenas de ataques que se tornaram públicos...). 
>> 
>> O importante é que eles busquem aprender com o ocorrido, e com certeza isso 
>> deve acontecer, elevando ainda mais a sua maturidade. 
>> 
>> []s 
>> 
>> Em 18 de setembro de 2010 17:57, Guilherme Boing <kolt at frag.com.br 
>>> escreveu: 
>> 
>>> Roberto, 
>>> 
>>> Sim, a discussão pode ser gigante, mas a culpa, independente do que 
>> houve, 
>>> é 
>>> da Locaweb, que é a responsável pela hospedagem desses sites que foram 
>>> 'defaceados'. 
>>> 
>>> Não podemos por a culpa na RedHat, pois alem de ter sido uma escolha da 
>>> própria Locaweb, utilizando o kernel deles, poderia ter aplicado 
>> correções 
>>> e 
>>> métodos de segurança que inibiriam qualquer tipo de exploit local a nível 
>>> de 
>>> kernel. 
>>> Você não precisa dar permissão para o cliente rodar arquivo binário 
>> algum, 
>>> se tratando de plataforma web. Muito menos, garantir acesso SSH. 
>>> 
>>> Se a Locaweb deseja garantir, por comodidade e como um diferencial, 
>> acesso 
>>> SSH aos clientes, deveria prezar primeiramente pela segurança dos 
>>> servidores, para depois sim, tomar um passo deste. 
>>> De qualquer forma, é possível manter seu sistema seguro, independente de 
>>> prover o acesso SSH aos clientes ou não. 
>>> 
>>> Essa historia se resume em amadorismo. 
>>> 
>>> 2010/9/18 Roberto Bertó <roberto.berto at gmail.com> 
>>> 
>>>> Ola Guilherme, 
>>>> 
>>>> Pelos horarios que aconteceram os eventos e as informacoes no twitter. 
>>> Pode 
>>>> ter sido outra coisa, mas duvido muito. 
>>>> 
>>>> Olha, a discussao de quem é a culpa é gigante. Podemos por a culpa no 
>>>> pessoal que escreveu o codigo do kernel, podemos por a culpa na redhat 
>>> por 
>>>> nao ter auditado, podemos por a culpa nos pesquisadores que descobriram 
>> a 
>>>> falha, ou nos que divulgaram a falha na internet junto com o exploit, 
>> ou 
>>>> até 
>>>> mesmo nos legisladores do mundo todo por nao termos leis que criem um 
>>>> metodo 
>>>> seguro de divulgar falhas de seguranca primeiro para as empresas que 
>>> podem 
>>>> corrigir e depois abertamente. Enfim... é enorme mesmo a discussao. 
>>>> 
>>>> Nao é bug de chroot de ftp. 
>>>> 
>>>> Em ambiente de hospedagem voce da acesso aos clientes a SSH e tambem a 
>>>> execucao de comados, porque tem php, perl, etc. Entao bastava subir um 
>>>> binario compilado e executar ele e voce virava root. Eu reproduzi isso 
>>> num 
>>>> ambiente de testes. 
>>>> 
>>>> 
>>>> 
>>>> 2010/9/18 Guilherme Boing <kolt at frag.com.br> 
>>>> 
>>>>> Desculpe, mas, baseado em quais fatos você relaciona o exploit '0day' 
>>> que 
>>>>> foi publicado com o acontecido na Locaweb ? 
>>>>> 
>>>>> E também, como você me diz que a Locaweb não teve culpa ? A culpa é 
>> de 
>>>>> quem, 
>>>>> dos usuários ? 
>>>>> Uma falha no kernel não garante acesso privilegiado algum, se o 
>> sistema 
>>>> for 
>>>>> bem protegido e bem administrado. 
>>>>> 
>>>>> Pra começo de conversa, nem deveria ser possível tal exploit ser 
>>>> executado 
>>>>> em um ambiente de webhosting, ainda mais, em cima de um usuário web. 
>>>>> 
>>>>> Sendo um bug de chroot de ftp, um exploit local que elevou os 
>>> privilégios 
>>>>> do 
>>>>> invasor, ou qualquer outra coisa, a Locaweb é responsável e culpada 
>>> pelo 
>>>>> ocorrido, pois era de sua responsabilidade, manter o sistema tanto 
>>>>> atualizado como bem protegido. 
>>>>> 
>>>>> 2010/9/18 Roberto Bertó <roberto.berto at gmail.com> 
>>>>> 
>>>>>> Viu pessoal, aproveito para divulgar o workaround e a falha, na 
>>> segunda 
>>>>>> parte do artigo tem info de como proteger. Foi bem grave mesmo 
>>>>>> 
>>>>> 
>>>> 
>>> 
>> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/ 
>>>>>> < 
>>>>>> 
>>>>> 
>>>> 
>>> 
>> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/> 
>>>>> 
>>>> __ 
>>>> masoch-l list 
>>>> https://eng.registro.br/mailman/listinfo/masoch-l 
>>>> 
>>> __ 
>>> masoch-l list 
>>> https://eng.registro.br/mailman/listinfo/masoch-l 
>>> 
>> 
>> 
>> 
>> -- 
>> Att, Marcelo M. Fleury 
>> Blog - http://marcelomf.blogspot.com/ 
>> Slides - http://www.slideshare.net/marcelomf/ 
>> 
>> "O primeiro dever da inteligência é desconfiar dela mesma." By Einstein 
>> __ 
>> masoch-l list 
>> https://eng.registro.br/mailman/listinfo/masoch-l 
>> 
> __ 
> masoch-l list 
> https://eng.registro.br/mailman/listinfo/masoch-l 


__ 
masoch-l list 
https://eng.registro.br/mailman/listinfo/masoch-l 


-- 





Carlos 
Comercial 
www.greco.com.br 

(11) 3040.1000 - São Paulo Direto 3040-1001 
acesse: blog.greco.com.br 

Tutoriais - Dicas - Suporte

More information about the masoch-l mailing list