Hola, necesito saber como hago para cerrar los puertos que no necesito y que esten abiertos en mi servidor, debido a que me estan reportando la IP a un servidor de Blackholes (correo spam), ya revisé la estaciones de la red y no encontré problemas de virus ni spyware, y debo cerrar los puertos que no necesito.
Gracias.

con un firewall ? ¿:|?

Si, pero no quiero modificar mucho las iptables debido a que es un poco dificil configurarlas, estoy buscando e intentando con algunos comandos para ver el trafico de paquetes por algunos puertos que al parecer estan presentando problemas....netstat....y el nmap, shorewall, etc..
Lo que quiero es saber como puedo abrir o cerrar un puerto determinado si encuentro que tiene trafico que no es monitoreado o que no es solicitado....
Pero no me puedo poner a ensayar con comandos ni progamas pues me da miedo acabar con la configuracion del servidor.

A mano? Dele netstat -ap y ve el proceso que esta abriendo el puerto y lo mata.

La unica forma de cerrar un puerto definitivamente es con iptables.

Como puedo matar por ejemplo el puerto 25 que es el de Send mail ??

$ man iptables

PD. No sea como los usuarios de Windows, tomese el tiempo de leer el manual y entender como funciona.

Gracias Krieg, ya lo leí y por eso estoy precisamente pidiendo ayuda, lo que pasa es que es un poco complicado ponerme a ensayar con los puertos, aunque ya encontre uno que me está devolviendo paquetes no solicitados y es el 25 es el de send mail y si lo cierro pues me quedo sin correo, y no he podido saber como rastreo desde donde estan saliendo esos paquetes por que al darle netstat -ap me muestra el 25 con un solo proceso (send mail) y cada vez que le doy muestra varias IP con la que aparentemente esta conectado y/o escuchando.
Estoy trabajando con el Nmap y no me muestra mayor informacion, estoy leyendo la documentacion a ver que mas le puedo sacar.
Thanxs.

La verdad no le entiendo que es lo que quiere, primero dice que quiere cerrar el puerto 25 y luego dice que no porque se queda sin mail.

Adivinando (y soy malo para eso) creo que tiene completamente abierto el servidor de mail y le esta haciendo relay a todo el mundo que quiera. O sea que los spammers estan mandando correo a traves de su servidor. Eso no tiene que ver con abrir o cerrar puertos sino con configurar correctamente el servidor de mail para que solo le haga relay a sus clientes. Como hacerlo depende del servidor de mail que este utilizando.

PD. Le recomiendo que lea esta pagina http://www.catb.org/~esr/faqs/smart-questions.html le ayudara a aprovechar mejor los recursos de Internet.

una buena solucion a esto es deshabilitando desde el inicio los servicios que no nesecita o que le estan generando problemas.

x eje:

telnet
https
send mail

y otros que x lo general nadie en un pc de escritorio usa y lo que hace es abrir una puerta tracera para que un usuario malicioso pueda entrar al sistema.

Pues, quita el servicio el demonio que te abre el SMTP del Inicio del sistema
en LinuxConf podes hacer eso.

Ah pero estos manes no leen el foro antes de contestar :s

El hombre NECESITA el mail.

Pues aho si quedo en******************ado, el man tiene un servidor decorreo o que, Para leer y enviar mis correos yo no necesito el deminio POP3 o el SMTP corriedno en mi sistema, Mi cliente es kmail. Entonces dime que pasa???

Texto Originalmente Escrito por [KOYO]
Pues aho si quedo en******************ado, el man tiene un servidor decorreo o que, Para leer y enviar mis correos yo no necesito el deminio POP3 o el SMTP corriedno en mi sistema, Mi cliente es kmail. Entonces dime que pasa???

Que USTED no lo necesite no significa que EL no lo necesite. El que tiene aca el problema es el que abrio el foro.

Si, pero lo que el plantea es "No Puedo leer mi correo" y surge mi pregunta "¿Como lees y Envias tu correo?" Asi se podria dar una sln rapida y simple asu problema.

Segun parece el hombre corre un servidor serio (sin saber administrarlo muy bien), asi que no me extrañaria que tenga un dominio propio y tenga que correr un smtp server para el correo entrante. Hay que tener en cuenta que muchas personas usan Linux para cosas serias, no solo para chatear en el msn messenger y para entrar a Laneros ;)

Tienes Razon Krieg,m estoy "aprendiendo" a administrar este servidor y efectivsmentes esta enviando relay a TODO EL MUNDO, por eso estoy buscando una solucion un poco rapida, yo se, pero es que estoy apurado por que me tienen bloqueada la IP en un servidor de seguridad y muchos de los serviores de correo de mis clientes comprueban en este servidor antes de recibir correo de cualquier IP.
Con respecto al documento, gracias de verdad, esta muy bueno, pero creo que ya estoy en el cuarto paso y por eso trato de preguntar directamente en un lugar que yo sé que me pueden colaborar a "saber administrarlo muy bien", aunque casi todas las respuestas han sido claras y me han servido para revisar y verificar las posibles causas de este problema.
En si el problema es el Relay que parte de esta IP y me tiene en grandes problemas, aunque ya revisé spyware y malware en las otras estaciones en Window$, y el trafico de la red ha disminuido un poco, estoy buscando principalmente en esos equipos que no son de mi entera confianza y no estan bajo mi control directo.

Gracias a todos.

Leyo el documento pero no aplica lo que lee :(

Si nos da la informacion completa del problema lo podemos ayudar, pero este es el momento que no se exactamente que quiere.

Escriba exactamente que es lo que tiene instalado, como entra y sale el mail, porque necesita el servidor de smtp, como envian y reciben mail los clientes, etc, etc, etc.

Texto Originalmente Escrito por Krieg
..........

Adivinando (y soy malo para eso) creo que tiene completamente abierto el servidor de mail y le esta haciendo relay a todo el mundo que quiera. O sea que los spammers estan mandando correo a traves de su servidor. Eso no tiene que ver con abrir o cerrar puertos sino con configurar correctamente el servidor de mail para que solo le haga relay a sus clientes. Como hacerlo depende del servidor de mail que este utilizando.

......

Eso es....
Adivinaste bien, y la verdad apenas estoy tratando de revisar la documentacion que he encontrado acerca del tema, yo uso el send mail en Mandrake 9.2 trabajo con el squid y con el samba, tambien tengo el apache para la web de la organizacion.
El ISP me dice que no me puede colaborar con remover el reporte de la IP del servidor de Blackholes por que aun aparece en sus registros que esta IP esta haciendo Relay.
Necesito exactamente ,cosa que no he podido encontrar con claridad, es como hacer para controlar ese
Los clientes usan correo de epm.net y de algunos servidores propios de organizaciones, verifican ip's en seervidores como dsbl.org y allñi esta reportada mi ip como spammer.
Al revisar spyware y malware en las otras estaciones en Window$, encontré un equipo que tenia una conexion permanente con una ip extraña que no acepta ping ni nslookup para saber de donde es, entonces corri el Xoftspy y pude eliminar esta conexion. creo que era el problema aunque en este momento estoy revisando externamente la ip a ver si continua el Relay.

Sino manda la informacion es complicado.

Vuelvo y le pregunto, porque necesita el smtp server corriendo (sendmail)? Como llega el correo entrante a los clientes? como sale?

Si tiene un smtp server corriendo en la IP publica (El Mandrake, me imagino) es imposible que un PC (con IP privada) ese haciendo relay porque desde afuera no lo pueden ver a menos que detenga el sendmail y haga port forwarding del port 25.

El problema debe ser que el sendmail esta abierto para todo el mundo. Esto es lo que yo tengo en mi /etc/mail/access para hacerle relay SOLO al localhost, seria cuestion de que metiera alli tambien todos sus clientes.

# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY

Para probar si quedo bien, no meta alguno de los clientes e intente mandar mail a traves del smtp. Los nombres de los archivos y como hacerlo puede variar de acuerdo a su distro. Si usa otra cosa diferente a sendmail (exim, qmail, etc) no tengo idea.

Esto es adivinando porque no ha explicado como envia y recibe email.

Eso es... aqui estoy viendo que todas las ip internas 192.168.1.xx tienen el relay abierto

# Check the /usr/share/doc/sendmail-8.12.9/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail-8.12.9/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY
192.168.1.xx RELAY
192.168.1.xx RELAY
...
...
...
...

192.168.1.xxx RELAY
192.168.1.xxx RELAY

Por que si las quito entonces las personas de los otros equipos dentro del dominio, lan, no pueden enviar ni recibir correo externamente....

La verdad yo no entiendo que quiere hacer. Por supuesto que las maquinas de la red local tienen que estar ahi sino no pueden enviar mail. Lo que hay que hacer es proteger el sendmail AFUERA primero (que creo que esta bien).

Que conste que quiero ayudar, pero ud no explica bien que quiere ni que tiene ni responde las preguntas que se le hacen.

Revise los logs del sendmail para ver que mails esta enviando cada cliente, podria ser que algun cliente este infectado con un troyano y sea el que mande el spam, porque asi como tiene el /etc/mail/access no creo que el ataque venga de afuera sino de adentro.

Tambien para confirmar, intente mandar mail con otra IP publica (desde afuera) a ver si el sendmail lo deja o no.


PD. Le puso las xxx a las IPs al final para que no supieramos la IP completa?? Esas son IPs internas.

Si Krieg, acabo de revisar en una estacion de la red y al parecer si habia un programa de spyware o un troyano que continuamente estaba enviando paquetes a diferentes ip, en este momento estoy revisando desde ordb.org y desde grc.com y apàrentemente ya esta arreglado lo del spam, la inquietud que tengo es como puedo hacer para saber cuando esto esta sucediendo, o como lo puedo evitar.

PD: Y si, se las puse por que creo que no les interesa y por que aparte de nosotros hay muchas personas interesadas en estas discusiones y por ahi hay un foro donde dice que en LANeros hay un monton de H@ckers...que susto !!!

Gracias de nuevo por la colaboracion.

Instalandole un buen antivirus a los clientes?

PD. Las IPs privadas no hay necesidas de escondenlas, nadie puede accederlas desde afuera.

listo, estoy esperandeo el reporte del ISP, apenas tenga resultados los posteo a ver si asi se solucionó lo del spam.
Gracias MaStEr Krieg.
Ya se han despeajado muchas de mis dudas, y las de algunos mas, y me sirvió la estudiada.....;)

Todo bien. Si hay dos cosas que odio en la vida son los juakers y el spam .

(y)

Pues....Reanimo el tema !!
Ya hice todo lo que pude, revisé la configuracion del mail, cambié el antivirus en todas las estaciones(symantec corporate edition 8.0), les revisé troyanos spyware y todo lo que se imaginen, instalé el chkrootkit, revisé con el nmap, mejor dicho...que purgada !! (Hasta donde pude).
Ahora si les pido mucha ayuda, me tienen la IP bloqueada en varios servidores de seguridad y practicamente estoy sin correo.
Que me recomiendan ??
No puedo ponerme a instalar de nuevo, por que aqui mismo tengo el Apache y el Samba y no puedo comprometer esos servicios, como se han dado cuenta apenas estoy aprendiendo algunas cosas y esto ya como que me esta quedando grande, aunque sigo intentando a ver si lo logro.
Colaboren con la causa, que está en juego el W.
Gracias.

AYUDENME POR FAVOR !! ;)

Y esta seguro que sigue saliendo spam? Como lo sabe? A lo mejor ya no pero aun lo tienen en esas bases de datos.

Pues si Krieg.
En este momento acabo de revisar con el tcpdump por el puerto 25 y tengo como 200 sesiones de correo activas y estoy trabajando solo, en este momento no hay nadie mas en la red.
Lo mas extraño es que le doy "netstat -p | grep tcp" y me muestra muy pocas conexiones y en algunas no me muestra el proceso que las tiene abiertas.

Texto Originalmente Escrito por mnaranjo22
Pues si Krieg.
En este momento acabo de revisar con el tcpdump por el puerto 25 y tengo como 200 sesiones de correo activas y estoy trabajando solo, en este momento no hay nadie mas en la red.
Lo mas extraño es que le doy "netstat -p | grep tcp" y me muestra muy pocas conexiones y en algunas no me muestra el proceso que las tiene abiertas.

Ok, ahi hay un buen dato. Le explico, netstat solo le muestra las conexiones activas en en Linux, pero no las de los clientes. Si ve mas conexiones activas con tcpdump pero no las puede ver con netstat tal vez sea que algun cliente se esta conectando directamente. Para investigar mas el asunto instale netstat-nat (es lo mismo que el netstat pero para ver las conexiones que van por NAT).

http://tweegy.demon.nl/projects/netstat-nat/index.html

Me cuenta que descubrio.

Esta es la configuracion del access del sendmail :
cat access
# Check the /usr/share/doc/sendmail-8.12.9/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail-8.12.9/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
#localhost.localdomain RELAY
#localhost RELAY
#127.0.0.1 RELAY
192.168.1.90 RELAY
192.168.1.91 RELAY
192.168.1.92 RELAY
192.168.1.93 RELAY
192.168.1.94 RELAY
192.168.1.95 RELAY
192.168.1.96 RELAY
192.168.1.97 RELAY
192.168.1.98 RELAY
192.168.1.99 RELAY
192.168.1.100 RELAY
192.168.1.101 RELAY
192.168.1.102 RELAY
192.168.1.103 RELAY
192.168.1.104 RELAY
192.168.1.105 RELAY
192.168.1.106 RELAY
192.168.1.107 RELAY
192.168.1.108 RELAY
192.168.1.109 RELAY
192.168.1.110 RELAY
192.168.1.111 RELAY
192.168.1.112 RELAY
192.168.1.113 RELAY
192.168.1.114 RELAY
192.168.1.115 RELAY
192.168.1.116 RELAY
192.168.1.117 RELAY
192.168.1.118 RELAY
192.168.1.119 RELAY
192.168.1.120 RELAY
192.168.1.121 RELAY

Esas lineas de localhost.localdomain , localhost y 127.0.0.1 si deben estar comentadas ??

Con el "netstat-nat -L " me muestra que todas las conexiones extrañas que tiene trafico salen del servidor, de las otras estaciones solo hay conexiones con netbios-ssn.

ponga aqui el resultado de 'netstat -apn'

Este es el resultado...
[root@xxx root]# netstat -apn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:32768 0.0.0.0:* LISTEN 1737/xinetd
tcp 0 0 0.0.0.0:32769 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 1737/xinetd
tcp 0 0 0.0.0.0:713 0.0.0.0:* LISTEN 1806/rpc.mountd
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 4019/smbd
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 1886/sendmail: acce
tcp 0 0 0.0.0.0:683 0.0.0.0:* LISTEN 1775/rpc.rquotad
tcp 0 0 0.0.0.0:907 0.0.0.0:* LISTEN 1149/rpc.statd
tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN 1737/xinetd
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 1737/xinetd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1051/portmap
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 2676/X
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 2285/httpd2
tcp 0 0 200.75.79.247:80 66.136.176.17:63931 SYN_RECV -
tcp 0 0 200.75.79.247:80 66.136.176.17:63664 SYN_RECV -
tcp 0 0 200.75.79.247:80 210.248.158.233:4128 SYN_RECV -
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 2084/perl
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 1737/xinetd
tcp 0 0 192.168.1.1:53 0.0.0.0:* LISTEN 1629/named
tcp 0 0 200.75.79.247:53 0.0.0.0:* LISTEN 1629/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1629/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1691/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1886/sendmail: acce
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 2285/httpd2
tcp 0 0 200.75.79.247:40109 66.28.176.243:80 TIME_WAIT -
tcp 0 0 192.168.1.1:139 192.168.1.92:1981 ESTABLISHED 4375/smbd
tcp 0 0 200.75.79.247:40070 66.28.176.243:80 TIME_WAIT -
tcp 0 0 200.75.79.247:80 80.180.128.180:4050 TIME_WAIT -
tcp 0 0 200.75.79.247:40031 65.54.194.117:80 ESTABLISHED 2818/opera
tcp 0 0 200.75.79.247:40030 65.54.194.117:80 ESTABLISHED 2818/opera
tcp 0 0 200.75.79.247:40013 203.199.70.99:80 TIME_WAIT -
tcp 0 0 192.168.1.1:139 192.168.1.91:1080 ESTABLISHED 4035/smbd
tcp 0 0 200.75.79.247:40101 69.67.99.3:80 TIME_WAIT -
tcp 0 0 200.75.79.247:40105 69.13.185.23:80 TIME_WAIT -
tcp 0 0 200.75.79.247:40104 69.13.185.23:80 TIME_WAIT -
tcp 0 520 200.75.79.247:80 162.83.11.68:3508 LAST_ACK -
tcp 0 0 200.75.79.247:80 68.48.14.160:2984 TIME_WAIT -
tcp 0 0 200.75.79.247:80 61.54.135.151:4848 TIME_WAIT -
tcp 0 0 192.168.1.1:110 192.168.1.97:1189 ESTABLISHED 5020/xinetd
tcp 0 0 200.75.79.247:80 81.67.52.36:22010 TIME_WAIT -
tcp 0 0 200.75.79.247:80 207.225.65.169:2143 TIME_WAIT -
tcp 385 0 200.75.79.247:80 81.67.52.8:29813 ESTABLISHED 5006/httpd2
tcp 0 0 200.75.79.247:80 220.113.34.16:2729 TIME_WAIT -
tcp 0 0 200.75.79.247:40067 208.23.204.131:80 TIME_WAIT -
tcp 0 0 200.75.79.247:80 81.153.161.40:3572 TIME_WAIT -
tcp 0 0 200.75.79.247:40120 216.255.136.62:80 TIME_WAIT -
tcp 0 0 200.75.79.247:80 68.48.14.160:2983 TIME_WAIT -
tcp 0 0 200.75.79.247:80 65.93.157.71:4033 TIME_WAIT -
tcp 0 1 200.75.79.247:39930 216.98.166.150:80 SYN_SENT 5000/httpd2
tcp 0 1 200.75.79.247:39925 216.98.166.150:80 SYN_SENT 4821/httpd2
tcp 0 0 200.75.79.247:40049 202.177.198.92:80 TIME_WAIT -
tcp 0 0 192.168.1.1:139 192.168.1.1:33931 ESTABLISHED 4118/smbd
tcp 0 0 127.0.0.1:40056 127.0.0.1:80 TIME_WAIT -
tcp 0 0 127.0.0.1:40059 127.0.0.1:80 TIME_WAIT -
tcp 0 0 200.75.79.247:80 24.188.89.193:2203 TIME_WAIT -
tcp 0 1 192.168.1.1:40110 192.168.1.97:113 SYN_SENT 5020/xinetd
tcp 0 918 200.75.79.247:80 81.67.53.103:20016 LAST_ACK -
tcp 0 746 200.75.79.247:80 63.13.131.158:4173 LAST_ACK -
tcp 0 0 200.75.79.247:40098 66.218.74.161:80 TIME_WAIT -
tcp 1 0 200.75.79.247:80 62.178.27.54:2012 CLOSE_WAIT 4821/httpd2
tcp 0 708 200.75.79.247:80 219.41.112.16:23754 LAST_ACK -
tcp 0 0 192.168.1.1:33931 192.168.1.1:139 ESTABLISHED -
tcp 0 0 200.75.79.247:40115 66.199.185.110:80 TIME_WAIT -
tcp 0 1 200.75.79.247:40087 193.252.242.225:80 SYN_SENT 5006/httpd2
tcp 0 0 192.168.1.1:110 192.168.1.95:1134 TIME_WAIT -
tcp 0 0 200.75.79.247:33504 207.46.106.29:1863 ESTABLISHED 4061/gaim
tcp 0 1 200.75.79.247:39979 193.252.242.225:80 SYN_SENT 4936/httpd2
tcp 0 0 200.75.79.247:80 210.248.158.233:3981 TIME_WAIT -
tcp 0 918 200.75.79.247:80 81.67.53.103:19055 LAST_ACK -
tcp 273 0 200.75.79.247:80 81.67.52.8:28865 CLOSE_WAIT 4748/httpd2
tcp 0 0 200.75.79.247:40119 202.43.216.7:80 ESTABLISHED 4891/httpd2
tcp 0 0 200.75.79.247:80 66.136.176.17:60241 ESTABLISHED 4891/httpd2
tcp 0 0 200.75.79.247:39990 202.103.64.204:80 TIME_WAIT -
tcp 0 0 200.75.79.247:80 62.107.28.247:1319 TIME_WAIT -
tcp 0 708 200.75.79.247:80 219.41.112.16:23792 LAST_ACK -
tcp 0 0 200.75.79.247:40102 69.73.173.50:80 ESTABLISHED 2818/opera
tcp 0 0 200.75.79.247:40113 64.62.140.186:80 TIME_WAIT -
tcp 1 1 200.75.79.247:39833 63.210.62.163:80 LAST_ACK -
tcp 0 0 200.75.79.247:40044 216.35.213.254:80 ESTABLISHED 2818/opera
tcp 1 0 200.75.79.247:80 62.178.27.54:2027 CLOSE_WAIT 5000/httpd2
tcp 0 1 200.75.79.247:39904 193.252.242.142:80 SYN_SENT 4748/httpd2
tcp 0 708 200.75.79.247:80 62.178.27.54:4234 LAST_ACK -
tcp 1 0 200.75.79.247:40106 213.244.183.198:80 CLOSE_WAIT 2818/opera
tcp 591 0 200.75.79.247:80 81.67.52.36:20101 CLOSE_WAIT 4936/httpd2
tcp 0 0 200.75.79.247:80 221.232.65.84:2506 TIME_WAIT -
tcp 0 0 200.75.79.247:40117 216.131.95.152:80 TIME_WAIT -
tcp 0 0 200.75.79.247:80 24.188.89.193:2635 TIME_WAIT -
tcp 0 0 200.75.79.247:80 80.180.128.180:3214 TIME_WAIT -
tcp 0 0 200.75.79.247:80 82.255.97.241:4194 TIME_WAIT -
tcp 0 746 200.75.79.247:80 63.13.131.158:4413 LAST_ACK -
tcp 0 0 200.75.79.247:80 81.67.53.192:6106 TIME_WAIT -
tcp 0 0 200.75.79.247:80 220.235.112.79:4135 FIN_WAIT2 4933/httpd2
tcp 0 0 200.75.79.247:80 24.247.58.78:3408 TIME_WAIT -
udp 0 0 0.0.0.0:32768 0.0.0.0:* 1629/named
udp 0 0 0.0.0.0:2049 0.0.0.0:* -
udp 0 0 0.0.0.0:32770 0.0.0.0:* -
udp 0 0 0.0.0.0:901 0.0.0.0:* 1149/rpc.statd
udp 0 0 0.0.0.0:520 0.0.0.0:* 3297/routed
udp 0 0 0.0.0.0:904 0.0.0.0:* 1149/rpc.statd
udp 0 0 200.75.79.247:137 0.0.0.0:* 4028/nmbd
udp 0 0 192.168.1.1:137 0.0.0.0:* 4028/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 4028/nmbd
udp 0 0 200.75.79.247:138 0.0.0.0:* 4028/nmbd
udp 0 0 192.168.1.1:138 0.0.0.0:* 4028/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 4028/nmbd
udp 0 0 0.0.0.0:13 0.0.0.0:* 1737/xinetd
udp 0 0 0.0.0.0:10000 0.0.0.0:* 2084/perl
udp 0 0 127.0.0.1:34717 0.0.0.0:* 4375/smbd
udp 0 0 0.0.0.0:37 0.0.0.0:* 1737/xinetd
udp 0 0 0.0.0.0:680 0.0.0.0:* 1775/rpc.rquotad
udp 0 0 192.168.1.1:53 0.0.0.0:* 1629/named
udp 0 0 200.75.79.247:53 0.0.0.0:* 1629/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 1629/named
udp 0 0 0.0.0.0:710 0.0.0.0:* 1806/rpc.mountd
udp 0 0 127.0.0.1:33608 0.0.0.0:* 4035/smbd
udp 0 0 200.75.79.247:33382 200.13.224.8:53 ESTABLISHED 3869/operamotifwrap
udp 0 0 0.0.0.0:111 0.0.0.0:* 1051/portmap
udp 0 0 127.0.0.1:34037 0.0.0.0:* 4118/smbd
udp 0 0 224.0.1.1:123 0.0.0.0:* 1660/ntpd
udp 0 0 192.168.1.1:123 0.0.0.0:* 1660/ntpd
udp 0 0 200.75.79.247:123 0.0.0.0:* 1660/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 1660/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 1660/ntpd
Active UNIX domain sockets (servers and established)

Ok, otra idea. A lo mejor tiene activado el modulo de proxy de Apache y le estan armando un tunel por ahi hasta el servidor de mail.

Haga lo siguiente:

$ telnet localhost 80
CONNECT mx2.mail.yahoo.com:25

Y me cuenta que le sale. Para bloquear que se le metan por ahi debe poner en el httpd.conf algo como:

<Proxy *>
Order Deny,Allow
Deny from all
Allow from 192.168.0
</Proxy>

Cambie la linea de Allow por las direcciones de su LAN.

pues, eso si no lo sabia......
mira el resultado...
# telnet localhost 80
Trying 127.0.0.1...
Connected to localhost (127.0.0.1).
Escape character is '^]'.
CONNECT mx2.mail.yahoo.com:25
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access mx2.mail.yahoo.com:25
on this server.</p>
<hr />
<address>Apache-AdvancedExtranetServer/2.0.47 (Mandrake Linux/6mdk) mod_perl/1.99_09 Perl/v5.8.1 mod_ssl/2.0.47 OpenSSL/0.9.7b PHP/4.3.2 Server at higietex.com.co Port 80</address>
</body></html>
Connection closed by foreign host.

Bueno, creo que por fin se que es. Te estan explotando con http-post.

En el archivo de configuracion de apache (httpd.conf o como se llame en la distro que usas) busca una linea que diga "ProxyRequests On" y ponla como comentario. Hay que detener apache y volverlo a lanzar para que tome el cambio.

Avisame cuando hayas hecho el cambio.

Este es el archivo de configuracion del apache:

### Main Configuration Section
### You really shouldn't change these settings unless you're a guru
###
ServerRoot /etc/httpd/2.0
#ServerName localhost
#LockFile /etc/httpd/httpd.lock
PidFile /var/run/httpd.pid
ErrorLog logs/error_log
LogLevel warn
DocumentRoot /var/www/html


### Dynamic Shared Object (DSO) Support
###
### You should always leave those three, as they are needed for
### normal use.
### mod_access (Order, Allow, etc..)
### mod_log_config (Transferlog, etc..)
### mod_mime (AddType, etc...)

LoadModule access_module modules/mod_access.so
LoadModule auth_module modules/mod_auth.so
LoadModule auth_anon_module modules/mod_auth_anon.so
##LoadModule auth_dbm_module modules/mod_auth_dbm.so
LoadModule auth_digest_module modules/mod_auth_digest.so
##LoadModule charset_lite_module modules/mod_charset_lite.so
##LoadModule case_filter_module modules/mod_case_filter.so
##LoadModule case_filter_in_module modules/mod_case_filter_in.so
##LoadModule ext_filter_module modules/mod_ext_filter.so
LoadModule include_module modules/mod_include.so
LoadModule log_config_module modules/mod_log_config.so
##LoadModule logio_module modules/mod_logio.so
LoadModule env_module modules/mod_env.so
##LoadModule mime_magic_module modules/mod_mime_magic.so
##LoadModule cern_meta_module modules/mod_cern_meta.so
LoadModule expires_module modules/mod_expires.so
LoadModule headers_module modules/mod_headers.so
LoadModule usertrack_module modules/mod_usertrack.so
##LoadModule unique_id_module modules/mod_unique_id.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule mime_module modules/mod_mime.so
LoadModule status_module modules/mod_status.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule asis_module modules/mod_asis.so
LoadModule info_module modules/mod_info.so
LoadModule cgi_module modules/mod_cgi.so
##LoadModule cgid_module modules/mod_cgid.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule dir_module modules/mod_dir.so
LoadModule imap_module modules/mod_imap.so
LoadModule actions_module modules/mod_actions.so
##LoadModule speling_module modules/mod_speling.so
LoadModule userdir_module modules/mod_userdir.so
LoadModule alias_module modules/mod_alias.so
LoadModule rewrite_module modules/mod_rewrite.so

###
### Global Configuration
###
# We now support multiple apache configurations on the same server. In
# common.conf, we put all directives that are common to all implementations
# (httpd, httpd-perl, etc.)
# For Apache2 we load all conf files in conf.d
Include /etc/httpd/conf.d/*.conf
Include conf/commonhttpd.conf


###
### IP Address/Port and Proxied configuration section
###
# The APACHEPROXIED setting can be set in /etc/rc.d/init.d/httpd if you
# are using a proxy or accelerator, like the Apache-SGI or khttpd, so that
# the fast web server serves static content while Apache handles the
# cgi or php files

#BindAddress *
<IfDefine APACHEPROXIED>
Listen 8080
</IfDefine>
<IfDefine !APACHEPROXIED>
Listen 80
</IfDefine>

# Likewise, we can set apache as the server by default and send perl
# requests via ProxyPass to apache-mod_perl. It increases performance
# since the perl interpreter is only used for perl and the standard apache
# does all the html and image files, with a smaller footprint.
#
# If you install apache and apache-mod_perl, this is the default config.
# If you don't want two web servers to use perl, uninstall apache, and
# apache-mod_perl will not be proxied.

<IfDefine PERLPROXIED>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^proxy:.* - [F]
RewriteRule ^(.*\/perl\/.*)$ http://%{HTTP_HOST}:8200$1 [P]
RewriteRule ^(.*\/cgi-perl\/.*)$ http://%{HTTP_HOST}:8200$1 [P]
</IfModule>
</IfDefine>

###
### Log configuration Section
###

<IfModule mod_log_config.c>
#Single logfile with access, agent and referer information
#This is the default, if vlogs are not defined for the main server
CustomLog logs/access_log combined env=!VLOG
#If VLOG is defined in conf/vhosts/Vhost.conf, we use this entry
CustomLog "|/usr/sbin/advxsplitlogfile" vhost env=VLOG
</IfModule>

###
### Virtual Hosts
###
# We include different templates for Virtual Hosting. Have a look in the
# vhosts directory and modify to suit your needs.
Include conf/vhosts/Vhosts.conf
#Include conf/vhosts/DynamicVhosts.conf
#Include conf/vhosts/VirtualHomePages.conf


###
### Performance settings Section
###
#
# Timeout: The number of seconds before receives and sends time out.
#
Timeout 300

#
# KeepAlive: Whether or not to allow persistent connections (more than
# one request per connection). Set to "Off" to deactivate.
#
KeepAlive On

#
# MaxKeepAliveRequests: The maximum number of requests to allow
# during a persistent connection. Set to 0 to allow an unlimited amount.
# We recommend you leave this number high, for maximum performance.
#
MaxKeepAliveRequests 100

#
# KeepAliveTimeout: Number of seconds to wait for the next request from the
# same client on the same connection.
#
KeepAliveTimeout 15


# prefork MPM [THIS IS THE DEFAULT]
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 150
MaxRequestsPerChild 0
</IfModule>

# worker MPM
# StartServers: initial number of server processes to start
# MaxClients: maximum number of simultaneous client connections
# MinSpareThreads: minimum number of worker threads which are kept spare
# MaxSpareThreads: maximum number of worker threads which are kept spare
# ThreadsPerChild: constant number of worker threads in each server process
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule worker.c>
StartServers 2
MaxClients 150
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
MaxRequestsPerChild 0
</IfModule>

# perchild MPM
# NumServers: constant number of server processes
# StartThreads: initial number of worker threads in each server process
# MinSpareThreads: minimum number of worker threads which are kept spare
# MaxSpareThreads: maximum number of worker threads which are kept spare
# MaxThreadsPerChild: maximum number of worker threads in each server process
# MaxRequestsPerChild: maximum number of connections per server process
<IfModule perchild.c>
NumServers 5
StartThreads 5
MinSpareThreads 5
MaxSpareThreads 10
MaxThreadsPerChild 20
MaxRequestsPerChild 0
</IfModule>


Que linea será la que debo comentar ??

No esta en ese archivo. Puede que este en otro .conf (tal vez commonhttpd.conf).

$ grep ProxyRequests *.conf

Esa del http-post si no me la sabía...

Definitivamente mis respetos...

No, nada en ninguna parte hay "ProxyRequests on" , ya revisé los archivos de configuracion del Apache y no pude encontrar ese string.......

Bueno, como no se cuanto tiempo mas vaya a estar online, aqui le pongo como saber si la maquina aun es explotable. En este ejemplo la pongo a que se conecte a su propio mail server:



krieg@ciudadmomia krieg $ telnet xxx.xxx.xxx.xxx 80
Trying xxx.xxx.xxx.xxx ...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
POST http://localhost:25/ HTTP/1.0
Content-Type: text/plain
Content-Length: 6

QUIT
HTTP/1.1 200 OK
Date: Thu, 10 Jun 2004 19:50:24 GMT
Server: Apache-AdvancedExtranetServer/2.0.47 (Mandrake Linux/6mdk) mod_perl/1.99_09 Perl/v5.8.1 mod_ssl/2.0.47 OpenSSL/0.9.7b PHP/4.3.2
Connection: close
Content-Type: text/plain

220 xxxxxxxx.com.co ESMTP Sendmail 8.12.9-20030917/8.12.9; Thu, 10 Jun 2004 14:50:30



Hasta la linea que dice QUIT es lo que ud tiene que escribir. Fijese que despues del contain lenght hay que dar DOS enters. Si le bota la linea con el mensaje del sendmail (la ultima que puse) la maquina es aun explotable (luego de esa linea le van a salir unos errores, no son importantes).

De todos modos yo sigo mirando el foro.

Texto Originalmente Escrito por mnaranjo22
No, nada en ninguna parte hay "ProxyRequests on" , ya revisé los archivos de configuracion del Apache y no pude encontrar ese string.......

Tiene que estar en algun lado porque esta activado. Sino busquese unos archivos de configuracion ejemplos en Internet y copieles todo el pedazo. Yo no le mando ejemplos mios porque ya vi que usa Apache 2.x y yo aun estoy con 1.x.

Aqui estaré por lo menos una hora mas, voy a intentar, pero aqui estoy viendo con el tcpdump port 25 que el trafico sigue y sigue....desde mi ISP me mandaron un reporte de hace 10 minutos y me informan que tengo mas de 300 sesiones de correo activas....
Voy a intentar y les aviso
Thanx !

El ProxyRequest esta en commonhttpd.conf

Para encontrarlo:

$ locate commonhttpd.conf

Este es el mencionado archivo....
No encuentro la linea ......

Tiene algun archivo que se llame /etc/conf.d/httpd o algo parecido?

Los unicos *.conf que tiene que ver con httpd son :
/etc/httpd/conf/httpd2.conf
/etc/httpd/conf/httpd-perl.conf
/etc/httpd/conf/commonhttpd.conf
/etc/httpd/conf/commonhttpd.conf.orig
Ya los miré todos y en ninguno está la linea de "ProxyRequest"
:(

Ok, pruebe metiendole esto a commonhttpd.conf:



#
# Proxy Server directives. Uncomment the following lines to
# enable the proxy server:
#
<IfModule mod_proxy.c>
ProxyRequests Off

<Directory proxy:*>
Order deny,allow
Deny from all
# Allow from .your_domain.com
</Directory>

#
# Enable/disable the handling of HTTP/1.1 "Via:" headers.
# ("Full" adds the server version; "Block" removes all outgoing Via: headers
)
# Set to one of: Off | On | Full | Block
#
# ProxyVia On

#
# To enable the cache as well, edit and uncomment the following lines:
# (no cacheing without CacheRoot)
#
# CacheRoot /var/cache/apache
# CacheSize 5
# CacheGcInterval 4
# CacheMaxExpire 24
# CacheLastModifiedFactor 0.1
# CacheDefaultExpire 1
# NoCache a_domain.com another_domain.edu joes.garage_sale.com

</IfModule>
# End of proxy directives.



Haga una copia del archivo antes por si se lo tira.

Ya lo modifiqué y reinicié el httpd.....
Voy a revisar si por lo menos baja el trafico....

Ya probe, el problema esta resuelto. Ahora falta ver si por ahi es que se le mete el spammer.

Me cuenta que paso con el trafico.

Hey Master...como dicen por ahí....Mis respetos !!!
Pues el trafico ya bajó considerablemente.....!!!

Por ahora me tengo que ir....:(
Mas tarde le cuento como me sigue el trafico ......pero aparentemente ya está listo...
Muchas Gracias Mejo !!
Mañana hablamos.....je je je.....;)

Bacano :)

Ah que bien se siente bloquear spammers que se las quieren dar de juakers.

Será el momento de alegrarme y poner este tema como "resuelto"? =D

Bueno....les comento......
Efectivamente el trafico de paquetes no deseado desde mi servidor se detuvo.
EL apache y el sendmail funcionan perfectamente y no tengo problemas de open relay.

Ya inicié el proceso de "borrar" la IP de las listas negras.
Estoy feliz !!! Je je je je......;)

Todavía Hay alguien solicitando "entrar" al servidor pero la configuracion que me dió el señor Krieg funciona perfectamente, ese alguien tiene IP de Alemania, en EPM estan revisando con dsbl.org a ver a quien pertenence.

Ah juemadre llegue tarde, estava interesante el gallo ....

Oiga esa IP es de Krieg pilas que las instrucciones que le dio era para para abrir la seguridad y meterse el ja ja ja .... no mentiras, mamadera de gallo.

mnaranjo22, si la IP es de t-online y fue como por 20 minutos ayer, fui yo. Le corri unos tests para ver cual era el hueco. Ahi disculpara pero como vio era la unica forma de saber donde estaba el problema. Donde me reporte como juaker me lo juakeo de verdad :P

Bacano saber que todo esta bien.

Gracias Krieg, no en realidad la IP es de algo que tiene que ver con dialers.net.de y de unknown.sagonet.net.
Quin sabe de que seran o de donde sern en realidad pero bueno lo mas importante es que ya estoy "limpio" y todo gracias al Sensei Krieg
De uevo muchas gracias Krieg, no se imagina todos los problemas que se me solucionaron.
Thanx

cambiale de nombre al post!

Gracias Krieg me salvaste para los que no les funcione esto, la configuracion del modulo de proxy esta en el archivo....

/etc/httpd/conf.d/30_mod_proxy.conf



Salu2

y Gracias de nuevo.