Re: Piraté sous linux?

Top Page

Reply to this message
Author: Francois-Xavier Kowalski
Date:  
To: ald
CC: Guilde (E-mail)
Subject: Re: Piraté sous linux?
ald wrote:

>Bonjour. J'ai un problème pas banal.
>
>Depuis qq temps, je recevais des mails venant de sites de Q ou homo.
>Certains comportaient plein d'adresses classées par ordre alphabétique
>venant de chez free. Je n'y ai pas attaché beaucoup d'importance au
>début (à tord). Je viens de leur faire une réclamation.
>
>Ceci n'aurait pas fait l'objet d'une question sur la guilde si ce matin
>je n'avais reçu un mails venant d'un site homo qui comporte LE NOM DE MA
>MACHINE...= ald.bureau.fixe.centris
>


Il m'est arrive la meme chose.

Tu tourne probablement sur ta machine un serveur de mail configure en
"Open-Relay", autrment dit pas configure du tout.

La manip des pammeurs est simple: scan de port sur un domaine, a la
recherche d'une addresse dont le port 25 est ouvert. Si oui, un MTA est
a l'ecoute. S'il est configure pour transmettre des mails, il peut le
faire pour n'importe quel mail entrant. La est le probleme: un serveur
MTA "Open-Relay" ne verifie pas les adresses IP de l'expediteur.

Solutions:

   1. Activer Netfilter pour masquer le port 25 aux machines arrivant
      par l'interface ppp0 (ou une autre, selon ta config)
   2. Configurer ton MTA pour qu'il ne relaie que les mails en
      provenance d'adresse IP connues


Personnellement, j'ai les 2 (Netfilter pour l'IP-spoofing & la
protection des ports + Postfix configurer pour nerelayer que les mails
en provenance de mon reseau local, qui est sur un sous-reseau non routable).

>Voici le code source de ce mail. Je suis inquiet.
>
>
>
>Return-Path: <alain.dieudonne@???>
>Delivered-To: online.fr-alain.dieudonne@???
>Received: (qmail 8700 invoked from network); 2 Mar 2003 03:01:50 -0000
>Received: from unknown (HELO 61.242.218.84) (218.0.177.180) by
>        mrelay2-1.free.fr with SMTP; 2 Mar 2003 03:01:50 -0000
>Return-Path: Received: from unknown (149.89.93.47) by
>rly-xr02.mx.aol.com
>        with NNFMP; Mar, 02 2003 02:41:23 -0100
>Received: from unknown (148.179.169.246) by rly-yk05.mx.aol.com with
>QMQP;
>        Mar, 02 2003 01:52:21 -0000
>Received: from [110.188.46.152] by mta05bw.bigpond.com with QMQP; Mar,
>02
>        2003 01:00:37 -0000
>From: Club Homosexuel <alain.dieudonne@???>

>


Effectivement, c'est inquietant... :-)

La premiere fois que j'ai lance "tcpdump -p ppp0" sans traffic personnel
sur ma passerelle, j'ai eu une drole de surprise: 10 scan de ports, plus
5 utilisateurs mails connectes a mon MTA! Du coup je me suis
serieusement mis a configurer ma machine... :-)

A+

--
Francois-Xavier 'FiX' KOWALSKI