mail szerver behatolás

 ( agostonl | 2014. április 29., kedd - 10:50 )

Sziasztok!

A következő a gondom.
Adott egy Debian szerver, naprakészen. Ezen ül a Spamassassin, exim4, imapd, Apache2, php, mysql.
Pár napja minden nap bejön valaki a webmail-en keresztül, de nem tudom hogyan tudnám kivédeni.
Sajnos, amit jelenleg nem tudok megváltoztatni, nincs SMTP auth.

Az Apache logokból nekem az jön le, hogy a Webmail Pro-ból kimondottan egy alkönyvtár fájlját hívják meg. Hogyan tudnám kivédeni? Kérlek segítsetek!

Fut még egy fail2ban, de nem igen tesz semmit az ügy érdekében.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ha egy könyvtárhoz akarod tiltani a hozzáférést, akkor az apache-ban így (is) lehet:

<Directory  "/path/to/dir">
  Order allow,deny
  Deny from all
</Directory>

Egy fájlt is lehet tiltani:

<Files "/path/to/file">
  Order allow,deny
  Deny from all
</Files>

Ezt az adott virtualhost konfigba kell elhelyezni.

De ez a - könyvtártól, alkalmazástól függően - tönkreteheti a webmail működését is, illetve lehet hogy nem ér semmit se. Mindenképp meg kell találni a betörés módját, és megszüntetni a lehetőséget.

Tűzoltásnak talán jó lehet ha tiltasz minden, nem magyarországi forgalmat a webszerver portjára. Már ha nincsenek felhasználóid akik külföldről nyomulnak.

Nyilvan nem ilyen otletekre vagysz de az almoskonyvek semmi jot nem josolnak azokra az esetekre ahol nincs SMTP auth. Miert nincs?

Egy mailszervernel ez a legelso dolgok egyike amiket bekapcsolunk.

Azért, mert localhoston megy a webmail és "smtp"-nek a php mail függvényt használja, szerintem.

Ez így nem jó megoldás. mynetworks 127 és kész.

nvm

Pontosítsd, hogy pontosan mi történik. Mert a "szerver behatolás" és a "minden nap bejön" valaki fogalmak félreérthetőek és nem túl pontosak.

Meg az SMTP auth-nak meg nem hinném, hogy bármi köze lenne a webmailhez. Egyébként én is be szoktam menni minden nap webmailre, és nem vagyok "behatoló".

ha a webmailen bejon, akkor sikeresen authentikalja magat. Ezt megakadalyozhatod, ha letiltod az account-jat. Mondjuk az acc-bol azert illene kiderulnie, hogy ki ez. De az is lehet, hogy egyaltalan nem errol van szo, es jobban el kene mondanod a hibat...

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

"Az Apache logokból nekem az jön le, hogy a Webmail Pro-ból kimondottan egy alkönyvtár fájlját hívják meg"

Én ebből azt vélem kihallani hogy a Webmail Pro (bármi is legyen az) valami bogarával jönnek be. De ez, a rendelkezésre álló információk alapján, nagyrészt találgatás :D

Lehet ez akar az AfterLogic termeke is. Ebben az esetben oket kellene zargatni, hogy ez szimpla sechole a rendszeren vagy csak hibas szerver beallitas?
Eleve hogy ernek el egy webmail ala berakott konyvtart kivulrol? Azt csak akkor lehetne elerni, ha elotte a user azonositva lett.

Vagy nem.

Ha jól van megírva, akkor le lehet tiltani, hogy a lib/ meg etc/ meg include/ meg mittoménmilyen könyvtárakat ne lehessen elérni http(s)-en át. De ha nem, vagy egy olyan oldalt matatnak, amit el kell érni, akkor meg ugye mindegy.

Hat akkor az nem webmail csak valami ocska jatek. Ahol meg a szerverkornyezet ezt nem engedi meg akkor azon a gepen nem futtattok mailszervert/webmailt mert az nem arra valo.

tényleg jó lenne egy kis pontosítás.
Ha látod az IP-t tiltsd ki...

Ez nem megoldás.
Aki ilyen célból bemegy egy mail szerverre, annak nem gond ugyanezt másik IP-ről megtenni.

Egyébként min is megy itt a vita? Az eredeti kérdező ezen a nagyon szakszerű "Webmail Pro-ból kimondottan egy alkönyvtár fájlját hívják meg" problémaleíráson kívül semmit nem fűzött hozzá.

Majd Stageline megpucolja, ő amúgy is nagyon ért hozzá, csak nehogy a főnökei elolvassák ezt itt, mert feljelent a rákba! :)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

en ingyen is elarulom, hogy a fent emlegetett "Webmail Pro-ból kimondottan egy alkönyvtár fájlja" elejere be kell szurni egy 'goto fail' -t, es keszen is van.

Lehet jobban mint te.

nem ez:
http://hup.hu/node/131796
történt nálad is?