Invasão
1. Invasão
geraldoquites
(usa Suse)
Enviado em 18/02/2013 - 19:15h
Tenho um servidor de webmail opensuse 11.4 64bits atualizado. Uso Apache e postfix com autenticação sasldb.Usso conexão externo com ssh em porta diferente da 22 e não permito acesso direto ao root.
Há poucos dias venho observando uma saida superior de emails. Quando verifiquei os logs, pude observar que alguem está conseguindo enviar emails (spam) usando o meu servidor. Fiz um teste externo usando o telnet na minha porta 25 e ele não deixa sair emails que não são do meu dominio, observando isso conclui que ele está tendo acesso direto a minha máquina, mas conferi os log de messagens e não tem nenhum acesso externo como root.
Vendo os logs de firewall, observei um grande acesso na porta 443(https) e na porta 25 usando também http, pergunto, um hacker poderia enviar emails usando essas portas em http e https diretamente no meu servidor?
Se parte do meu logo de email:
Feb 15 23:46:49 mail postfix/smtpd[15739]: BF9E9240048: client=localhost[127.0.0.1]
Feb 15 23:46:50 mail postfix/cleanup[15746]: BF9E9240048: message-id=<20130216014649.BF9E9240048@mail.meuservidor.com.br>
Feb 15 23:46:50 mail postfix/qmgr[3462]: BF9E9240048: from=<eosylpzoy@yahoo.co.jp>, size=1808, nrcpt=2 (queue active)
Feb 15 23:46:50 mail postfix/local[15750]: BF9E9240048: to=<pegatudo@meuservidor.com.br>, relay=local, delay=0.68, delays=0.59/0/0/0.08, dsn=2.0.0, status=sent (delivered to maildir)
Feb 15 23:46:50 mail postfix/smtpd[15739]: disconnect from localhost[127.0.0.1]
Feb 15 23:46:50 mail postfix/smtp[15749]: BF9E9240048: to=<margesin@itc.it>, relay=meuservidor.com.br[189.55.14.169]:25, delay=1.3, delays=0.59/0.03/0.48/0.2, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as BC37363E5B)
Feb 15 23:46:50 mail postfix/qmgr[3462]: BF9E9240048: removed
segue parte do meu sarg com acesso na porta 443 e 25 no mesmo dia e horários:
175.192.97.176 - - [15/Feb/2013:23:36:02 -0200] "CONNECT 203.138.180.240:25 HTTP/1.0" 405 978 "-" "-"
175.192.97.176 - - [15/Feb/2013:23:36:02 -0200] "CONNECT 111.87.239.132:25 HTTP/1.0" 405 977 "-" "-"
210.83.80.91 - - [15/Feb/2013:23:36:02 -0200] "CONNECT 202.179.204.254:25 HTTP/1.0" 405 978 "-" "-"
173.45.85.60 - - [15/Feb/2013:23:39:02 -0200] "CONNECT 211.10.20.55:25 HTTP/1.0" 405 975 "-" "-"
173.45.85.54 - - [15/Feb/2013:23:48:02 -0200] "CONNECT 210.130.202.81:25 HTTP/1.0" 405 977 "-" "-"
175.192.97.176 - - [15/Feb/2013:23:48:02 -0200] "CONNECT 202.179.204.254:25 HTTP/1.0" 405 978 "-" "-"
173.45.85.55 - - [15/Feb/2013:23:54:01 -0200] "CONNECT 139.80.128.128:25 HTTP/1.0" 405 977 "-" "-"
64.79.92.60 - - [15/Feb/2013:23:57:01 -0200] "CONNECT 202.216.228.58:25 HTTP/1.0" 405 977 "-" "-"
64.79.92.60 - - [16/Feb/2013:00:06:04 -0200] "CONNECT 210.155.226.61:25 HTTP/1.0" 405 977 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:05 -0200] "CONNECT 205.188.95.208:443 HTTP/1.0" 405 977 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-"
173.45.94.40 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 131.232.10.21:25 HTTP/1.0" 405 976 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:06 -0200] "CONNECT 205.188.27.208:443 HTTP/1.0" 405 977 "-" "-"
188.193.204.102 - - [12/Feb/2013:18:36:07 -0200] "CONNECT 205.188.95.208:443 HTTP/1.0" 405 977 "-" "-"
173.45.94.43 - - [12/Feb/2013:18:39:01 -0200] "CONNECT 183.79.57.238:25 HTTP/1.0" 405 976 "-" "-"
Agradeço ajuda para resolver este problema.
Geraldo.