[MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre ataque cracker
Alexandre Gorges
algorges at gmail.com
Sun Sep 19 21:39:30 BRT 2010
Carlos,
A mensagem pode ser editada livremente. A mensagem que você colocou se
refere ao daemon Postgrey, mas ele não é o unico que faz o papel de
greylist!
O postgrey você pode editar o perl e alterar para a mensagem que você
desejar.
[]'s
Alexandre Gorges
http://www.google.com.br/profiles/algorges
MSN/Skype: alexandre at dag.net.br
ICQ: 2031408
> From: Carlos Alberto Greco <carlos at greco.com.br>
> Reply-To: Lista Masoch <masoch-l at eng.registro.br>
> Date: Sun, 19 Sep 2010 19:20:24 -0300 (GMT-03:00)
> To: Lista Masoch <masoch-l at eng.registro.br>
> Subject: Re: [MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre
> ataque cracker
>
> Caro Alexandre
Quando greylist esta ativado ele deve aparecer no log assim
>
Sep 19 19:17:25 mta3 postfix/smtpd[26806]: NOQUEUE: reject: RCPT from
> asell.zzz.com[212.90.105.66]: 450 4.2.0 <sabrina at xxx.com.br>: Recipient
> address rejected: Greylisted, see
> http://postgrey.schweikert.ch/help/xxx.com.br.html;
> from=<1-268015-xxx.com.br?sabrina at asell.zzz.com> to=<sabrina at xxx.com.br>
> proto=SMTP helo=<asell.lojaatualnews.com>
Greco
----- Mensagem original
> -----
De: "Alexandre Gorges" <algorges at gmail.com>
Para: "Lista Masoch"
> <masoch-l at eng.registro.br>
Enviadas: Domingo, 19 de Setembro de 2010 19:14:52
> (GMT-0300) Auto-Detected
Assunto: Re: [MASOCH-L] RES: Locaweb - Problemas com
> E-mails - Locaweb sofre ataque cracker
Eu acho que esse caso de ataque de
> exploit foi outro caso.
O problema dos emails é outro e ainda permanece.
> Verifiquei os logs antigos
e vi que agora a locaweb aponta o seu mx para
> apenas um endereço. Agora
parece existir um controle por greylist. Vejam
> alguns emails na minha fila,
esse é o problema que vem acontecendo na demora
> de envio de emails para
clientes que hospedam na locaweb.
(host
> mx.a.locaweb.com.br[186.202.4.42] said: 450 4.7.1
<contato at xxxxx.com.br>:
> Recipient address rejected: you are sending too many
mails, slow down... (in
> reply to RCPT TO command))
(host mx.a.locaweb.com.br[186.202.4.42] said: 450
> 4.7.1 <xxxx at xxxx.com.br>:
Recipient address rejected: you are sending too
> many mails, slow down... (in
reply to RCPT TO command))
(host
> mx.a.locaweb.com.br[186.202.4.42] said: 450 4.7.1 <xxxx at xxxxx.com.br>:
>
Recipient address rejected: you are sending too many mails, slow down... (in
>
reply to RCPT TO command))
[]'s
Alexandre Gorges
>
http://www.google.com.br/profiles/algorges
MSN/Skype: alexandre at dag.net.br
>
ICQ: 2031408
> From: Jean Marcel Vosch <jean.vosch at gmail.com>
>
> Reply-To: Lista Masoch <masoch-l at eng.registro.br>
> Date: Sun, 19 Sep 2010
> 15:59:15 -0300
> To: Lista Masoch <masoch-l at eng.registro.br>
> Subject: Re:
> [MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre
> ataque
> cracker
>
> Prepotente foi a Locaweb ao não informar corretamente seus
> usuários.
>
> Em 19 de setembro de 2010 15:09, Marcelo M. Fleury
>
> <marcelomf at gmail.com>escreveu:
>
>> È muita prepotência dizer que a locaweb
> é amadora. Um dos serviços da
>> locaweb foi comprometido, em questão de
> horas os serviços foram
>> normalizados
>> e isso sim é bom.
>>
>> Procure
> por domínios de grandes provedores aqui:
>> http://www.zone-h.com/archive
>>
>
>> terra, uol... todos já foram vitimas. O que a locaweb passou, qualquer um
>
>> pode passar, tal como já aconteceu com nasa, m$ e etc(e estamos falando
>
>> apenas de ataques que se tornaram públicos...).
>>
>> O importante é que
> eles busquem aprender com o ocorrido, e com certeza isso
>> deve acontecer,
> elevando ainda mais a sua maturidade.
>>
>> []s
>>
>> Em 18 de setembro de
> 2010 17:57, Guilherme Boing <kolt at frag.com.br
>>> escreveu:
>>
>>> Roberto,
>
>>>
>>> Sim, a discussão pode ser gigante, mas a culpa, independente do que
>
>> houve,
>>> é
>>> da Locaweb, que é a responsável pela hospedagem desses
> sites que foram
>>> 'defaceados'.
>>>
>>> Não podemos por a culpa na
> RedHat, pois alem de ter sido uma escolha da
>>> própria Locaweb, utilizando
> o kernel deles, poderia ter aplicado
>> correções
>>> e
>>> métodos de
> segurança que inibiriam qualquer tipo de exploit local a nível
>>> de
>>>
> kernel.
>>> Você não precisa dar permissão para o cliente rodar arquivo
> binário
>> algum,
>>> se tratando de plataforma web. Muito menos, garantir
> acesso SSH.
>>>
>>> Se a Locaweb deseja garantir, por comodidade e como um
> diferencial,
>> acesso
>>> SSH aos clientes, deveria prezar primeiramente
> pela segurança dos
>>> servidores, para depois sim, tomar um passo deste.
>
>>> De qualquer forma, é possível manter seu sistema seguro, independente de
>
>>> prover o acesso SSH aos clientes ou não.
>>>
>>> Essa historia se
> resume em amadorismo.
>>>
>>> 2010/9/18 Roberto Bertó
> <roberto.berto at gmail.com>
>>>
>>>> Ola Guilherme,
>>>>
>>>> Pelos horarios
> que aconteceram os eventos e as informacoes no twitter.
>>> Pode
>>>> ter
> sido outra coisa, mas duvido muito.
>>>>
>>>> Olha, a discussao de quem é a
> culpa é gigante. Podemos por a culpa no
>>>> pessoal que escreveu o codigo do
> kernel, podemos por a culpa na redhat
>>> por
>>>> nao ter auditado, podemos
> por a culpa nos pesquisadores que descobriram
>> a
>>>> falha, ou nos que
> divulgaram a falha na internet junto com o exploit,
>> ou
>>>> até
>>>>
> mesmo nos legisladores do mundo todo por nao termos leis que criem um
>>>>
> metodo
>>>> seguro de divulgar falhas de seguranca primeiro para as empresas
> que
>>> podem
>>>> corrigir e depois abertamente. Enfim... é enorme mesmo a
> discussao.
>>>>
>>>> Nao é bug de chroot de ftp.
>>>>
>>>> Em ambiente de
> hospedagem voce da acesso aos clientes a SSH e tambem a
>>>> execucao de
> comados, porque tem php, perl, etc. Entao bastava subir um
>>>> binario
> compilado e executar ele e voce virava root. Eu reproduzi isso
>>> num
>>>>
> ambiente de testes.
>>>>
>>>>
>>>>
>>>> 2010/9/18 Guilherme Boing
> <kolt at frag.com.br>
>>>>
>>>>> Desculpe, mas, baseado em quais fatos você
> relaciona o exploit '0day'
>>> que
>>>>> foi publicado com o acontecido na
> Locaweb ?
>>>>>
>>>>> E também, como você me diz que a Locaweb não teve
> culpa ? A culpa é
>> de
>>>>> quem,
>>>>> dos usuários ?
>>>>> Uma falha
> no kernel não garante acesso privilegiado algum, se o
>> sistema
>>>> for
>
>>>>> bem protegido e bem administrado.
>>>>>
>>>>> Pra começo de conversa,
> nem deveria ser possível tal exploit ser
>>>> executado
>>>>> em um ambiente
> de webhosting, ainda mais, em cima de um usuário web.
>>>>>
>>>>> Sendo um
> bug de chroot de ftp, um exploit local que elevou os
>>> privilégios
>>>>>
> do
>>>>> invasor, ou qualquer outra coisa, a Locaweb é responsável e culpada
>
>>> pelo
>>>>> ocorrido, pois era de sua responsabilidade, manter o sistema
> tanto
>>>>> atualizado como bem protegido.
>>>>>
>>>>> 2010/9/18 Roberto
> Bertó <roberto.berto at gmail.com>
>>>>>
>>>>>> Viu pessoal, aproveito para
> divulgar o workaround e a falha, na
>>> segunda
>>>>>> parte do artigo tem
> info de como proteger. Foi bem grave mesmo
>>>>>>
>>>>>
>>>>
>>>
>>
> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/
>
>>>>>> <
>>>>>>
>>>>>
>>>>
>>>
>>
> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/>
>
>>>>>
>>>> __
>>>> masoch-l list
>>>>
> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>> __
>>> masoch-l
> list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>
>>
>>
>
>> --
>> Att, Marcelo M. Fleury
>> Blog - http://marcelomf.blogspot.com/
>
>> Slides - http://www.slideshare.net/marcelomf/
>>
>> "O primeiro dever da
> inteligência é desconfiar dela mesma." By Einstein
>> __
>> masoch-l list
>
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l
> list
> https://eng.registro.br/mailman/listinfo/masoch-l
__
masoch-l list
>
https://eng.registro.br/mailman/listinfo/masoch-l
--
Carlos
>
Comercial
www.greco.com.br
(11) 3040.1000 - São Paulo Direto 3040-1001
>
acesse: blog.greco.com.br
Tutoriais - Dicas - Suporte
__
masoch-l
> list
https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list