26 May 2009 - 22:18Máte v odchozí frontě tisíce emailů? let me help you.

Poslední dobou pořád více narážím na administrátory, kteří moc na politiku hesel a zabezpečení serverů nedbají, což je taky jeden z důvodů proč je pořád víc a víc spamu.

Pokud spammer potřebuje odeslat spoustu mailů, má v zásadě jenom pár možností.

  • Má vlastní botnet (X tisíc hackutých počítačů) pod kontrolou.
  • Použije nějaké nezabezpečené weby a spam pošle přes php či jiný scriptovací jazyk.
  • Zjistí jméno + heslo k účtům na Vašem(a X dalších) mailserverů a pošle spam přes vás.

Pokud se Vám stala třetí možnost, musíte dohledat jaký účet byl prolomen a tomu změnit heslo.
Typicky se zkoušejí kombinace jako admin/admin, user/user, info/info, marketing/marketing, admin,admin123456 ..atp

Abyste mohli spammera dohledat v logu, hledej informaci jako “AUTH LOGIN” ci “AUTH CRAM-MD5″ za tím následuje uživatelské jméno a heslo.Obojí je enkodováno do base64, takže budete potřebovat nějaký dekodér – např pspad nebo nějaký webový http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/

Celá enkodovaná SMTP session s autentizací.

123.123.123.123 [0158] 06:09:14 <<< AUTH LOGIN
123.123.123.123 [0158] 06:09:14 >>> 334 VXNlcm5hbWU6
123.123.123.123 [0158] 06:09:14 <<< dXNlckBleGFtcGxlLm9yZw==
123.123.123.123 [0158] 06:09:14 >>> 334 UGFzc3dvcmQ6
123.123.123.123 [0158] 06:09:14 <<< c29tZXBhc3N3b3Jk
123.123.123.123 [0158] 06:09:14 >>> 235 2.0.0 Authentication successful
123.123.123.123 [0158] 06:09:14 <<< MAIL FROM: <user@example.org>
123.123.123.123 [0158] 06:09:14 >>> 250 2.1.0 <user@example.org>… Sender ok
123.123.123.123 [0158] 06:09:14 <<< RCPT TO: <otheruser@somedomain.com>
123.123.123.123 [0158] 06:09:14 >>> 250 2.1.5 <otheruser@somedomain.com>… Recipient ok; will forward

Celá dekodovaná SMTP session s autentizací.

123.123.123.123 [0158] 06:09:14 <<< AUTH LOGIN
123.123.123.123 [0158] 06:09:14 >>> 334 Username:
123.123.123.123 [0158] 06:09:14 <<< user@example.org
123.123.123.123 [0158] 06:09:14 >>> 334 Password:
123.123.123.123 [0158] 06:09:14 <<< somepass
123.123.123.123 [0158] 06:09:14 >>> 235 2.0.0 Authentication successful
123.123.123.123 [0158] 06:09:14 <<< MAIL FROM: <user@example.org>
123.123.123.123 [0158] 06:09:14 >>> 250 2.1.0 <user@example.org>… Sender ok
123.123.123.123 [0158] 06:09:14 <<< RCPT TO: <otheruser@somedomain.com>
123.123.123.123 [0158] 06:09:14 >>> 250 2.1.5 <otheruser@somedomain.com>… Recipient ok; will forward

Pak již stačí jenom změnit heslo, odstranit Vaší ip z dnsbl serverů, snadno zjistíte např na http://www.dnsbl.info

Lepší než tohle řešit je tomu předcházet.

  • Zapněte politiku hesel a vyžadujde heslo minimálně o délce 6 znaků s tím že jeden z nich bude číslo
  • Apelujte na uživatele ať si volí složitá hesla
  • Zapněte expiraci hesel, např každých 6 měsíců
  • Sledujte velikost fronty na Vašem mailserveru a nechte se notifikovat smskou nebo mailem, pokud tam bude např 100 mailů k odeslání

No Comments | Tags: Mailservery

13 May 2009 - 16:55Jak vytvorit uzivatele a db v mysql

bluedot.cz~# mysql -u admin -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 795395
Server version: 5.0.32-Debian_7etch6-log Debian etch distribution

Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the buffer.

mysql> create database db;
Query OK, 1 row affected (0.00 sec)

mysql> grant all privileges on db.* to db@localhost identified by ’somepassword’;
Query OK, 0 rows affected (0.11 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.08 sec)

mysql>

No Comments | Tags: Databáze