Portál AbcLinuxu, 14. května 2024 18:49


Dotaz: Spamují mi přes můj LDAP?

7.1.2008 00:52 Ludvík
Spamují mi přes můj LDAP?
Přečteno: 258×
Odpovědět | Admin
Ahoj,

mám server využívající virtuální LDAP účty pro poštu.

Teď jsem objevil v logu tenhle záznam, který si neumím vysvětlit: 
Jan  5 08:01:59 kuzelka postfix/smtpd[15722]: connect from catv-5665d829.catv.broadband.hu[86.101.216.41]
Jan  5 08:02:00 kuzelka slapd[2667]: conn=2079 fd=12 ACCEPT from IP=127.0.0.1:48904 (IP=127.0.0.1:389)
Jan  5 08:02:00 kuzelka slapd[2667]: conn=2079 op=0 BIND dn="cn=daemon,dc=kuzelka,dc=org" method=128
Jan  5 08:02:00 kuzelka slapd[2667]: conn=2079 op=0 BIND dn="cn=daemon,dc=kuzelka,dc=org" mech=SIMPLE ssf=0
Jan  5 08:02:00 kuzelka slapd[2667]: conn=2079 op=0 RESULT tag=97 err=0 text=
Jan  5 08:02:00 kuzelka slapd[2667]: conn=2079 op=1 SRCH base="dc=kuzelka,dc=org" scope=2 deref=0 
filter="(&(objectClass=VirtualDomain)(vd=jrtr.org)(accountActive=TRUE)(delete=FALSE))"
Moje interpretace je, že se připojil spammer a prohledává LDAP za účelem vycucnutí adres. Samozřejmě žádná doména "jrtr.org" na serveru není. (Těch searchů je tu hafo.)

Nechápu ale ono ACCEPT from IP=127.0.0.1:48904 (IP=127.0.0.1:389), jak se připojil lokálně a jaktože může hledat vd jaké se mu zlíbí, když přístup je pouze na autorizaci? Je provařený tedy ten účet (cn=daemon)? Co se s tím dá dělat?

Díky za pomoc.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

7.1.2008 01:24 imro | skóre: 19 | blog: hovado
Rozbalit Rozbalit vše Re: Spamují mi přes můj LDAP?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Netreba panikarit. Ten zaznam je ok. Ako vidis, na slapd daemon sa ti pripaja nieco z localhostu zo zdrojoveho portu 48904. Urcite to bude nejaky daemon z postfixu,ktory si takto kontroluje,ci dany user existuje alebo nie. Ale ten search mas nejaky divny....
7.1.2008 09:27 bluemoon
Rozbalit Rozbalit vše Re: Spamují mi přes můj LDAP?
Odpovědět | | Sbalit | Link | Blokovat | Admin
nejspis se nekdo opravdu snazi pres vas spamovat. nikdo se lokalne nepripojil, to postfixu jste povolil zjistovat nicky i mezi ldap uzivateli, tudiz daemon postfixu se snazi pri takovem dalsim pokusu zjistit, zda-li uzivatel s nickem, pres ktery by se mohlo spamovat existuje. Nebal bych se toho, ale rozhodne bych ho dal do blacklistu postfixu. Autorizovany pristup pro vsechny uzivatele nejen pres smtp je zde namiste, ale to snad mate uz zarizeno. tu virtualni domenu tez hleda postfix z hlavicek prichazejicich mailu. pro vysvetleni: ten kdo je posila s ip adresou 86.101.216.41 a s prelozenym jmenem od isp jako catv-5665d829.catv.broadband.hu ma nastaven nazev serveru jako jrtr.org. To ze neexistuje je dano tim, ze neni zadny dns zaznam prirazen jrtr.org u spravce adres, tudiz kdyz si ho chcete zobrazit nebo pingnout, neni kam smerovat pakety. to ze se vam nezobrazi ani prelozene jmeno od jeho isp je tim, ze je za natem a ma neverejnou adresu.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.