Conexões da porta de saída 25 que atingem o tempo de repente: Centos 6.6 & postfix; hackeado?

Question

Conexões da porta de saída 25 que atingem o tempo de repente: Centos 6.6 & postfix; hackeado?

#1 resposta do (1 votos)

1

Eu tenho usado um servidor de e-mail / web da Centos há anos, com um servidor Linode Xen nos últimos 4 anos quase sem problemas.

Desde ontem, não consegui me conectar aos servidores de e-mail de saída (porta 25). A fila de mensagens está aumentando. Outras coisas estranhas:

Posso rastrear na porta 25 para servidores do Gmail e concluir, mas limite o tempo de conexão ao enviar para esses servidores
Eu acabei de atualizar o yum no início desta tarde
Eu estava recebendo conexões IPV6 tentando configurar até que eu desliguei o IPV6 em sysctl
Eu posso receber o email de entrada na porta 25, não posso encaminhá-lo.

Estou obtendo alterações dinâmicas em meus iptables, por exemplo:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  cpe-188-129-114-96.dynamic.amis.hr  anywhere            
DROP       all  --  190.40.173.185       anywhere            
DROP       all  --  5.200.193.129        anywhere            
DROP       all  --  206.47.254.202       anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  cpe-188-129-114-96.dynamic.amis.hr  anywhere            
DROP       all  --  190.40.173.185       anywhere            
DROP       all  --  5.200.193.129        anywhere            
DROP       all  --  206.47.254.202       anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Alguma ideia? Eu fui hackeado?

postfix centos6.6

por Mark McWiggins 01.07.2015 / 01:36

1 resposta

Tags postfix centos6.6

Tentando obter o pid de um script executado como su -c Conexão de rede lenta ao servidor, somente de um dispositivo

score 1 · Answer 1

Apenas algumas coisas

Esses são provavelmente endereços de spam, mas o que eu acho estranho é que os iptables estão configurados para não se conectarem, não para desautorizar a conexão. Talvez você tenha algum tipo de programa de segurança / firewall / IDS bloqueando endereços IP?
Considere descarregando seus iptables e planejando o que você acha que seu firewall deve ser. Se você tem um programa de firewall, veja se ele está interferindo. Se um monte de servidores desagradáveis estão tentando se conectar ao seu, é provável que o seu servidor esteja bloqueando. Eu não vejo o benefício real em hackers tirando sua funcionalidade. A maioria usa servidores SMTP para enviar spam, de forma que eles se beneficiam dele.

EDIT: Eu digo que esses são endereços de spam, porque o endereço 206.x.x.x é notório.