> > Buenos días a todos. Por acá quizás no tan buenos. Yo al menos me estoy > sintiendo hoy como Monk (it's a jungle out there; confusion and disorder > everywhere!). > > Voy a obviar los mil y un mensajes de spam que llegan a la lista todos > los días y que como uno de los administradores (o administraidores, dirá > alguien) debo frenar y pasar a lista negra. Eso va por descontado. > > Al revisar los logs de mi trabajo como todos las mañanas, tarea que me > lleva un buen rato (chequeos con tiger, tripwire, reportes de cuanta > tarea se lance por el cron, todos los avisos que me manda el Postfix por > tener activado el notify_classes, el aviso de intento de phishing que me > dió el filtro ClamAv que le tengo puesto a mi Evolution, advertencias > del spamassassin y del ClamAV- y tuve que desactivar temporalmente OSSEC > en el servidor porque ya era demasiado) me he encontrado además con que > han intentado usarnos de open relay desde una dirección reportado como > de cucert.cu, según los logs y un chequeo rápido en el DNS: > > Non-authoritative answer: > 226.179.55.200.in-addr.arpa name = mercurio.cucert.cu. > > > Véase: > > Para: Postmaster <postmas...@partagas.ettpartagas.co.cu> > Asunto: Postfix SMTP server: errors from > mercurio.cucert.cu[200.55.179.226] > Fecha: Wed, 14 May 2014 18:06:22 -0400 (CDT) > > > Transcript of session follows. > > Out: 220 partagas.ettpartagas.co.cu ESMTP Postfix (Debian/GNU) > In: EHLO nmap.scanme.org > Out: 250-partagas.ettpartagas.co.cu > Out: 250-PIPELINING > Out: 250-SIZE 10240000 > Out: 250-VRFY > Out: 250-ETRN > Out: 250-STARTTLS > Out: 250-ENHANCEDSTATUSCODES > Out: 250-8BITMIME > Out: 250 DSN > In: MAIL FROM:<usert...@nmap.scanme.org> > Out: 250 2.1.0 Ok > In: RCPT TO:<r...@nmap.scanme.org> > Out: 554 5.7.1 <r...@nmap.scanme.org>: Relay access denied > In: VRFY root > Out: 252 2.0.0 root > In: EXPN root > Out: 502 5.5.2 Error: command not recognized > In: QUIT > Out: 221 2.0.0 Bye > > > For other details, see the local mail logfile > > Tengo otro reporte de otra oleada más fuerte: > Transcript of session follows. > > Out: 220 partagas.ettpartagas.co.cu ESMTP Postfix (Debian/GNU) > In: EHLO nmap.scanme.org > Out: 250-partagas.ettpartagas.co.cu > Out: 250-PIPELINING > Out: 250-SIZE 10240000 > Out: 250-VRFY > Out: 250-ETRN > Out: 250-STARTTLS > Out: 250-ENHANCEDSTATUSCODES > Out: 250-8BITMIME > Out: 250 DSN > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<> > Out: 250 2.1.0 Ok > In: RCPT TO:<relayt...@nmap.scanme.org> > Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antis...@nmap.scanme.org> > Out: 250 2.1.0 Ok > In: RCPT TO:<relayt...@nmap.scanme.org> > Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antis...@partagas.ettpartagas.co.cu> > Out: 250 2.1.0 Ok > In: RCPT TO:<relayt...@nmap.scanme.org> > Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<relayt...@nmap.scanme.org> > Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<relaytest%nmap.scanme.org@[190.6.79.98]> > Out: 554 5.7.1 <relaytest%nmap.scanme.org@[190.6.79.98]>: Relay access > denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<relaytest%nmap.scanme....@partagas.ettpartagas.co.cu> > Out: 554 5.7.1 <relaytest%nmap.scanme....@partagas.ettpartagas.co.cu>: > Relay > access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<"relayt...@nmap.scanme.org"> > Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<"relaytest%nmap.scanme.org"> > Out: 554 5.7.1 <relaytest%nmap.scanme.org>: Relay access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<relayt...@nmap.scanme.org@[190.6.79.98]> > Out: 554 5.7.1 <relayt...@nmap.scanme.org@[190.6.79.98]>: Relay access > denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<"relayt...@nmap.scanme.org"@[190.6.79.98]> > Out: 554 5.7.1 <relayt...@nmap.scanme.org@[190.6.79.98]>: Relay access > denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<relayt...@nmap.scanme.org@partagas.ettpartagas.co.cu> > Out: 554 5.7.1 <relayt...@nmap.scanme.org@partagas.ettpartagas.co.cu>: > Relay > access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<@[190.6.79.98]:relayt...@nmap.scanme.org> > Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<@partagas.ettpartagas.co.cu:relayt...@nmap.scanme.org> > Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<nmap.scanme.org!relaytest> > Out: 554 5.7.1 <nmap.scanme.org!relaytest>: Relay access denied > In: RSET > Out: 250 2.0.0 Ok > In: MAIL FROM:<antispam@[190.6.79.98]> > Out: 250 2.1.0 Ok > In: RCPT TO:<nmap.scanme.org!relaytest@[190.6.79.98]> > Out: 554 5.7.1 <nmap.scanme.org!relaytest@[190.6.79.98]>: Relay access > denied > In: RSET > > Al parecer, el sistema está rechazando todos los ataques, pero me > preocupa que se originen en un bloque de direcciones de Cuba. No tengo > salida al mar, así que me imagino que que si la tuviera la cosa hubiera > sido más violenta. > > ¿A alguien más le está pasando esto? > > Hugo, hermano: ayer te pasé un mensaje haciéndote una consulta cerca de > cómo guardar las trazas de iptables. Si te es posible dame una idea, que > ya ves en qué ando. > -- > M.Sc. Alberto García Fumero
Saludos lista; Alberto, eso mas bien parece que te han cogido como dominio de destino para el chequeo del Open Relay; es decir, ver si tu servidor de correo está permitiendo el Open Relay. -- Rommel Rodriguez Toirac Administrador de red ONAT Guantánamo Teléfono (pizarra): 327444,326625,326376,327677,326576 Extensión: 120 -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
