[Admins] Spamcop anfragen...
Ivan Redi
office at ortlos.com
Fri Aug 6 19:03:29 CEST 2004
hallo,
ich glaube ich habe es gefunden woher diese "viren mails" kammen.
user smtp server auf linux.ortlos.at (redhat) war ein alter herr und
verletzbar. die "bösen jungs" haben es ausgenutzt und über ihm die ganzen
mails verschickt. also die win stations waren diesmal unschuldig.
nun ich habe es ausgeschaltet und bis neue version kommt werden wir
mail.mur.at verwenden.
---
best regards
+--Ivan Redi------------------------------------------------------+
|/ \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \ / \|
| O | R | T | L | O | S ) ( a | r | c | h | i | t | e | c | t | s |
|\_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/ \_/|
| association for eXperimental architecture & interface design |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
|o|f|f|i|c|e|@|o|r|t|l|o|s|.|c|o|m|||||w|w|w|.|o|r|t|l|o|s|.|c|o|m|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
-----Original Message-----
From: admins-admin at mur.at [mailto:admins-admin at mur.at] On Behalf Of Jogi
Hofmueller
Sent: Donnerstag, 22. Juli 2004 09:54
To: admins at mur.at
Subject: Re: [Admins] Spamcop anfragen...
Hi!
* Ivan Redi <office at ortlos.com> [2004-07-21 18:54]:
> 193.171.120.194 namens ORT-KO.mur.at ist unserer rechner: ORTLOS
architects.
> oder besser gesagt unsere FIREWALL!!! eigenartige ist dass man von
> diesem rechner eigentlich kein mail verschicken kann weil sendmail
> noch sonst irgendein smtp prog jemals installiert war.
Die Tatsache das die firewall IP bei den SMTP Sessions als Absender
auftaucht legt einfach nahe, dass der connect von DAHINTER kommt. Ich teile
Deine Einschätzung, dass die firewall selber keine mails verschickt. 100%ig
kann das aber nie ausgeschlossen werden ...
> wir leiden schon einige tage unter dieser bösen attacke, und können
> uns eigentlich nicht helfen.
> alles probiert: die gesamte software upgedatet, sicherheits packete
> installiert, anti-virus check, neue firewall rules geschrieben, es
> hilft nichts.
Was zur Analyse sicher gut ist sind LOG targets in den iptables. Die
produzieren zwar meistens sehr sehr viele Logzeilen (ausser es gelingt, sie
sehr präzise zu formulieren), aber 'Anomalien' sind gut auffindbar.
Vor allem hast Du die Möglichkeit zu sehen, von welchem Rechner aus dem LAN
die Pakete kommen. Das können wir von aussen nicht machen.
> wir vermuten dass sich hier um ein gemeines ipspoof angriff handelt.
Halte ich für äusserst unwahrscheinlich, weil zu aufwendig. Ist aber nur
meine persönliche Meinung.
Gruss
j.
--
Jogi Hofmueller |*| ICQ: 284632332
mur.at |*| Tel.: +43 316 821451 55
|*| http://info.astrian.net/jargon/terms/h/hacker.html
More information about the Admins
mailing list