HI, ALL! проблемка у меня вышла в некотором вопросе... у кого есть какие предложения?
Дело в след. имеется фрагмент заголовка лога, который был отправлен на указаный маил, напр. того же администратора с root`ского аккаунта. Если хотите, то назовём это просто <alert>. Такие логи начали ссыпаться каждый день, что начинает меня раздражать.
Сам лог:
0/01/04:05.00 ACTIVE SYSTEM ATTACK!
------------------------------------
Active System Attack Alerts
=-=-=-=-=-=-=-=-=-=-=-=-=-=
Oct 18 04:50:54 --- sendmail[23109]: i9I1orH23109:
from=<theodosiusdfortescue@marsattack.com>, size=3863, class=0, nrcpts=1,
msgid=<1032215166.31431352200568@yahoo.com>, bodytype=8BITMIME, proto=ESMTP, daemon=MTA,
relay=mxsf17.cluster1.charter.net [209.225.28.217]
____________
На одном из форумов был затронут этот вопрос с приведённым ниже логом, на что меня зафлеймили и ответили след:
____________
>(nmalykh) Если по таким записям Вы делаете выводы об атаке на вашу систему, лучше не заниматься вопросами безопасности. У меня, например, таких записей появляется несколько десятков в секунду - так что мне постоянно кричать, что меня кто-то атакует. Это же самый примитивный спам.
_____________
Мой ответ был таким:
_____________
> Тот же XSpider при сканировании вызывает ряд наприятностей, о которых потом сервер логирует, как о системной атаке и отправляет администратору подобные предупреждения на почтовый аккаунт: To: admin
Subject: мой_хост 10/03/04:14.00 ACTIVE SYSTEM ATTACK!
И Вы будете утверждать, что попытка отправки почты, это безобидный момент? А Вы внимательнее посмотрите на лог, там можно наблюдать, что отправка была проведена с несуществующего (тобишь левого) сервера theodosiusdfortescue@marsattack.com
Далее, учтём, что почтовый демон неправильно пофиксили и он способен принимать почту с левых серверов. И ещё допустим такой баг, как неустановленное квотирование для зарегистрированных юзаккаунтов. Теперь ещё один момент. Почтовый сервер имеет размер винчестера 40 Гб и остаток свободного дискового пространства 5 Гб. Что из этого следует, если учесть:
1) демон, который принимает спам;
2) неустановленное квотирование;
3) ограниченный объём винчестера в доступном дисковом пространстве;
// не говоря уже о таких мелочах, как переполнение буфера в поле <from> и прочее, сейчас перечислять не буду.
____________________________________
Дык вот вопрос? Стоит ли мне действительно обращать на эти логи внимание или просто забить?
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
