Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2009-03-04 18:43:29
pablo - 
Członek DUG
Bezpieczeństwo serwera
Witam.
Aktualnie zarządzam serwerem szkolnym. Dzisiaj zaktualizowałem go z wersji 4.0 do wersji 5.0.
Dzisiaj rano nauczyciel informatyki pokazał mi maila, że poprzez nasz serwer rozsyłany jest spam. Początkowo trochę się zdziwiłem, gdyż nie używany był żaden serwer pocztowy.
Pierwszą rzeczą było usunięcie tego serwera pocztowego, który był zainstalowany. Ale po wydaniu polecenia netstat -a
nadal pozostawały dziwne połączenia. Co najdziwniejsze były to połączenia w IPv6, a ona nie jest używana w tej sieci. Po wyłączeniu modułu IPv6 netstat -a wygląda raczej dobrze. Potem zacząłem przeglądać logi i trafiłem na kilka dziwnych przypadków.
Jestem początkującym administratorem dlatego proszę was o drobną pomoc.
w /var/log/apache2/error.log
Kod:
[Wed Mar 04 17:52:52 2009] [error] [client 87.235.146.XX] File does not exist: /XXX/XXX/public_html/1
XXX to są ukryte przeze mnie dane :)
Ogólnie jest takich wpisów tysiące i o różnych IP. Występuje kilkanaście wpisów takich na minutę. I na pewno nie ma nigdzie odniesienia na stronie do tego pliku.
w /var/log/daemon.log
Kod:
Mar 4 17:31:10 XXX named[2075]: client 65.109.4.89#XXXX: query (cache) './NS/IN' denied
Gdzie XXXX to jest jakaś losowa liczba większa niż 1000, a mniejsza niż 10000
Czasami jeszcze przed /NS/IN jest adres jakiejś strony np. youtube.com, symantec.com itp.
Podobnie jak w poprzednim przypadku jest kilkadziesiąt wpisów na minutę.
Znowu w dzisiejsze przedpołudnie było w tym samym pliku pojawiające się przez kilka godzin także kilkanaście na minutę(jeszcze przed aktualizacją do 5.0)
Kod:
Mar 4 11:32:11 XXX named[3740]: lame server resolving '40.9.30.207.in-addr.arpa' (in '9.30.207.in-addr.arpa'?): 138.210.81.3#53 lub 205.160.188.2#53
Proszę o wszelkie uwagi.
Pozdrawiam
Ostatnio edytowany przez pablo (2009-03-04 18:50:08)
Pusto :)
Offline
#2 2009-03-04 19:54:26
kayo - Członek DUG
- kayo
- Członek DUG
- Zarejestrowany: 2007-05-20
Re: Bezpieczeństwo serwera
Mozesz spac spokojnie.
Pierwsze to proby wyswietlenia pliku poprzez www ktorego nie ma - script kiddies szukaja ofiary na chybil trafil i akurat trafili na twoj serwer. Drugie to znaczy ni mniej ni wiecej ze prorobowano uzyc twego seerwera do rozwiazania nazw dns ale masz go skonfigurowanego do dzialania w sieci lokalnej wiec odmowil udzielenia odpowiedzi temu klientowi. To trzecie to informacja ze dwoj serwer dns nie jest autoratywny dla danej domeny...
Krotko mowiac te klomunikaty to codziennosc by nie powiedziec "cominutowosc" w pracy serwera
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
#3 2009-03-04 20:26:00
pablo - Członek DUG
Re: Bezpieczeństwo serwera
Dzięki za uspokojenie:)
kayo napisał(-a):
Drugie to znaczy ni mniej ni wiecej ze prorobowano uzyc twego seerwera do rozwiazania nazw dns ale masz go skonfigurowanego do dzialania w sieci lokalnej wiec odmowil udzielenia odpowiedzi temu klientowi.
Mam jeszcze pytanie do tej części. Co dokładnie to znaczy. Bo serwer DNS jest praktycznie na standardowych ustawieniach. Zmieniany był tylko plik hosts domeny. No i on jest nie tylko po to, aby być serwerem dla sieci, ale także aby był NameServerem domeny. I z zewnątrz nie ma problemu z dostępnością tej domeny i subdomen. A także jak ustali się ręcznie DNS'a na ten serwer z zewnątrz to także bez problemu można go używać.
Pozdrawiam
Pusto :)
Offline
#4 2009-03-05 00:23:34
bercik - Moderator Mamut
Re: Bezpieczeństwo serwera
pablo napisał(-a):
Dzisiaj rano nauczyciel informatyki pokazał mi maila, że poprzez nasz serwer rozsyłany jest spam. Początkowo trochę się zdziwiłem, gdyż nie używany był żaden serwer pocztowy.
Pierwszą rzeczą było usunięcie tego serwera pocztowego, który był zainstalowany. Ale po wydaniu polecenia netstat -a
nadal pozostawały dziwne połączenia. Co najdziwniejsze były to połączenia w IPv6, a ona nie jest używana w tej sieci. Po wyłączeniu modułu IPv6 netstat -a wygląda raczej dobrze.
pytanie podstawowe czy serwer robi NAT, jezeli robi czy pozwala komputerom za NATem laczyc sie z portem 25 ... jezeli dwa razy udzieliles twierdzacej odpowiedzi to na >95% winny rozsylania spamu nie byl MTA na serwerze a zawirusowany komp zza NATu
jezeli nie masz ipv6 w kabelku ani tunelyu tym co sie dzieje w tym protokole nie musisz sie za bardzo przejmowac ... jak mozesz to podaj te dziwne rzeczy bo moze wcale nie sa takie dziwne ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#5 2009-03-11 14:46:29
vicool - Użytkownik
- vicool
- Użytkownik
- Skąd: Szczecin
- Zarejestrowany: 2005-12-05
Re: Bezpieczeństwo serwera
Witam
smtp-gated powinien zalatwic sprawe
Debian
Offline