Conexões da porta de saída 25 que atingem o tempo de repente: Centos 6.6 & postfix; hackeado?

1

Eu tenho usado um servidor de e-mail / web da Centos há anos, com um servidor Linode Xen nos últimos 4 anos quase sem problemas.

Desde ontem, não consegui me conectar aos servidores de e-mail de saída (porta 25). A fila de mensagens está aumentando. Outras coisas estranhas:

  • Posso rastrear na porta 25 para servidores do Gmail e concluir, mas limite o tempo de conexão ao enviar para esses servidores
  • Eu acabei de atualizar o yum no início desta tarde
  • Eu estava recebendo conexões IPV6 tentando configurar até que eu desliguei o IPV6 em sysctl
  • Eu posso receber o email de entrada na porta 25, não posso encaminhá-lo.
  • Estou obtendo alterações dinâmicas em meus iptables, por exemplo:

    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination         
    DROP       all  --  cpe-188-129-114-96.dynamic.amis.hr  anywhere            
    DROP       all  --  190.40.173.185       anywhere            
    DROP       all  --  5.200.193.129        anywhere            
    DROP       all  --  206.47.254.202       anywhere            
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination         
    DROP       all  --  cpe-188-129-114-96.dynamic.amis.hr  anywhere            
    DROP       all  --  190.40.173.185       anywhere            
    DROP       all  --  5.200.193.129        anywhere            
    DROP       all  --  206.47.254.202       anywhere            
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    

Alguma ideia? Eu fui hackeado?

    
por Mark McWiggins 01.07.2015 / 01:36

1 resposta

1

Apenas algumas coisas

  1. Esses são provavelmente endereços de spam, mas o que eu acho estranho é que os iptables estão configurados para não se conectarem, não para desautorizar a conexão. Talvez você tenha algum tipo de programa de segurança / firewall / IDS bloqueando endereços IP?

  2. Considere descarregando seus iptables e planejando o que você acha que seu firewall deve ser. Se você tem um programa de firewall, veja se ele está interferindo. Se um monte de servidores desagradáveis estão tentando se conectar ao seu, é provável que o seu servidor esteja bloqueando. Eu não vejo o benefício real em hackers tirando sua funcionalidade. A maioria usa servidores SMTP para enviar spam, de forma que eles se beneficiam dele.

EDIT: Eu digo que esses são endereços de spam, porque o endereço 206.x.x.x é notório.

    
por 01.07.2015 / 07:53