Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2009-03-04 18:43:29

  pablo - Członek DUG

pablo
Członek DUG
Skąd: Białystok
Zarejestrowany: 2006-04-12
Serwis

Bezpieczeństwo serwera

Witam.

Aktualnie zarządzam serwerem szkolnym. Dzisiaj zaktualizowałem go z wersji 4.0 do wersji 5.0.

Dzisiaj rano nauczyciel informatyki pokazał mi maila, że poprzez nasz serwer rozsyłany jest spam. Początkowo trochę się zdziwiłem, gdyż nie używany był żaden serwer pocztowy.
Pierwszą rzeczą było usunięcie tego serwera pocztowego, który był zainstalowany. Ale po wydaniu polecenia netstat -a
nadal pozostawały dziwne połączenia. Co najdziwniejsze były to połączenia w IPv6, a ona nie jest używana w tej sieci. Po wyłączeniu modułu IPv6 netstat -a wygląda raczej dobrze. Potem zacząłem przeglądać logi i trafiłem na kilka dziwnych przypadków.

Jestem początkującym administratorem dlatego proszę was o drobną pomoc.
w /var/log/apache2/error.log

Kod:

[Wed Mar 04 17:52:52 2009] [error] [client 87.235.146.XX] File does not exist: /XXX/XXX/public_html/1

XXX to są ukryte przeze mnie dane :)
Ogólnie jest takich wpisów tysiące i o różnych IP. Występuje kilkanaście wpisów takich na minutę. I na pewno nie ma nigdzie odniesienia na stronie do tego pliku.

w /var/log/daemon.log

Kod:

Mar 4 17:31:10 XXX named[2075]: client 65.109.4.89#XXXX: query (cache) './NS/IN' denied

Gdzie XXXX to jest jakaś losowa liczba większa niż 1000, a mniejsza niż 10000
Czasami jeszcze przed /NS/IN jest adres jakiejś strony np. youtube.com, symantec.com itp.
Podobnie jak w poprzednim przypadku jest kilkadziesiąt wpisów na minutę.

Znowu w dzisiejsze przedpołudnie było w tym samym pliku pojawiające się przez kilka godzin także kilkanaście na minutę(jeszcze przed aktualizacją do 5.0)

Kod:

Mar 4 11:32:11 XXX named[3740]: lame server resolving '40.9.30.207.in-addr.arpa' (in '9.30.207.in-addr.arpa'?): 138.210.81.3#53 lub 205.160.188.2#53

Proszę o wszelkie uwagi.
Pozdrawiam

Ostatnio edytowany przez pablo (2009-03-04 18:50:08)


Pusto :)

Offline

 

#2  2009-03-04 19:54:26

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: Bezpieczeństwo serwera

Mozesz spac spokojnie.
Pierwsze to proby wyswietlenia pliku poprzez www ktorego nie ma - script kiddies szukaja ofiary na chybil trafil i akurat trafili na twoj serwer. Drugie to znaczy ni mniej ni wiecej ze prorobowano uzyc twego seerwera do rozwiazania nazw dns ale masz go skonfigurowanego do dzialania w sieci lokalnej wiec odmowil udzielenia odpowiedzi temu klientowi. To trzecie to informacja ze dwoj serwer dns nie jest autoratywny dla danej domeny...
Krotko mowiac te klomunikaty to codziennosc by nie powiedziec "cominutowosc" w pracy serwera


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#3  2009-03-04 20:26:00

  pablo - Członek DUG

pablo
Członek DUG
Skąd: Białystok
Zarejestrowany: 2006-04-12
Serwis

Re: Bezpieczeństwo serwera

Dzięki za uspokojenie:)

[quote=kayo]Drugie to znaczy ni mniej ni wiecej ze prorobowano uzyc twego seerwera do rozwiazania nazw dns ale masz go skonfigurowanego do dzialania w sieci lokalnej wiec odmowil udzielenia odpowiedzi temu klientowi.[/quote]
Mam jeszcze pytanie do tej części. Co dokładnie to znaczy. Bo serwer DNS jest praktycznie na standardowych ustawieniach. Zmieniany był tylko plik hosts domeny. No i on jest nie tylko po to, aby być serwerem dla sieci, ale także aby był NameServerem domeny. I z zewnątrz nie ma problemu z dostępnością tej domeny i subdomen. A także jak ustali się ręcznie DNS'a na ten serwer z zewnątrz to także bez problemu można go używać.

Pozdrawiam


Pusto :)

Offline

 

#4  2009-03-05 00:23:34

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: Bezpieczeństwo serwera

[quote=pablo]Dzisiaj rano nauczyciel informatyki pokazał mi maila, że poprzez nasz serwer rozsyłany jest spam. Początkowo trochę się zdziwiłem, gdyż nie używany był żaden serwer pocztowy.
Pierwszą rzeczą było usunięcie tego serwera pocztowego, który był zainstalowany. Ale po wydaniu polecenia netstat -a
nadal pozostawały dziwne połączenia. Co najdziwniejsze były to połączenia w IPv6, a ona nie jest używana w tej sieci. Po wyłączeniu modułu IPv6 netstat -a wygląda raczej dobrze.[/quote]
pytanie podstawowe czy serwer robi NAT, jezeli robi czy pozwala komputerom za NATem laczyc sie z portem 25 ... jezeli dwa razy udzieliles twierdzacej odpowiedzi to na >95% winny rozsylania spamu nie byl MTA na serwerze a zawirusowany komp zza NATu

jezeli nie masz ipv6 w kabelku ani tunelyu tym co sie dzieje w tym protokole nie musisz sie za bardzo przejmowac ... jak mozesz to podaj te dziwne rzeczy bo moze wcale nie sa takie dziwne ...


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#5  2009-03-11 14:46:29

  vicool - Użytkownik

vicool
Użytkownik
Skąd: Szczecin
Zarejestrowany: 2005-12-05

Re: Bezpieczeństwo serwera

Witam
smtp-gated powinien zalatwic sprawe


Debian

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.008 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00129 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='13.58.38.184' WHERE u.id=1
0.00065 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '13.58.38.184', 1732337300)
0.00049 SELECT * FROM punbb_online WHERE logged<1732337000
0.00049 SELECT topic_id FROM punbb_posts WHERE id=113539
0.00093 SELECT id FROM punbb_posts WHERE topic_id=13612 ORDER BY posted
0.00034 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=13612 AND t.moved_to IS NULL
0.00026 SELECT search_for, replace_with FROM punbb_censoring
0.00079 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=13612 ORDER BY p.id LIMIT 0,25
0.00080 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=13612
Total query time: 0.00619 s