OVH Community, your new community space.

Vulnerabilidad cmd5checkpw


clopezi
19/10/2014, 23:47
cPanel es caro, pero si uno tiene un proyecto minimamente importante y necesita un panel, creo que no hay nada mejor.

También recomiendo ISPConfig si se quiere alojar simplemente algunas webs, es muy sencillo y bastante robusto.

Plesk he tenido que lidiar con él porque algunos clientes así lo han querido y es horrible, confuso y muy falto de documentación.

fx.boada
19/10/2014, 12:44
Muchas grácias Nadeu,

Ya habia perdido toda esperanza de que alguien me respondiera. Siento mucho corresponderte tant tarde.

Mirare con atención lo que me has enviado.

La verdad es que si, que plesk, cuando tienes problemas gordos, hace falta documentación.

De todas maneras, creo que el problema se centra mas en el servidor de correo el problema.

Tambien decir que grácias a un nuevo programa de plesk 12, he conseguido parar el problema. Se trata del servicio de "control de correo saliente", y sobretodo del nuevo servicio de "Prohibición de direcciones IP (Fail2ban)".

Lo pongo por si a alguien le pasa lo mismo, y sirve de algo.

Muchas grácias de nuevo.

Saludos

nadeu
03/08/2014, 22:41
Yo y Plesk, pocos amigos. Me parece un panel desfasado, con falta de documentación y con poca tranquilidad.

Aun así, yo que tu implementaba spamdyke y ya:
http://www.formmail-maker.com/wordpress/?p=19

fx.boada
19/07/2014, 06:12
Buenos dias

Estoy sufriendo un ataque que por lo que he visto en algun foro es debido a una vulneravilidad del protocolo SMTP. Utilizo centos 6.3 con plesk 11.5.30, con todas las actualizaciones posibles al dia, tanto en sistema como en plesk.

Concreto el problema: Se trata de que se estan identificando contra el servicio de correo electrónico (Qmail) con un usuario no identificado. Os muestro las trazas en el log:

Jul 16 19:43:47 serv08 cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:47 serv08 cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]
Jul 16 19:43:47 serv08 cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:47 serv08 cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]
Jul 16 19:43:47 serv08 cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:47 serv cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]
Jul 16 19:43:47 serv cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:47 serv cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]
Jul 16 19:43:47 serv cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:47 serv cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]
Jul 16 19:43:47 serv cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:47 serv cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]
Jul 16 19:43:47 serv cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:47 serv cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]
Jul 16 19:43:48 serv cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:48 serv cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]
Jul 16 19:43:48 serv cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:48 serv cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]
Jul 16 19:43:49 serv cmd5checkpw: SMTP connect from unknown [113.22.142.198]
Jul 16 19:43:49 serv cmd5checkpw: SMTP user info: logged in from (null) [113.22.142.198]

Utilizant como podeis ver el protocolo/modulo cmd5checkpw. Habitualmente si se realiza una conexion smtp o pop, la autentificacion es diferente. He leido en algun foro que hay una vulnerabilidad:

http://www.securityfocus.com/bid/1809/info

No acabo de ver claro que esto sea lo que me esta sucediendo. El caso es que me aparecen en la cola de correos del qmail, alrededor de unos 25-30 correos/hora que se generan con esta metodologia: busco quien se ha identificado para cortar el flujo, me encuentro en todos los casos con el usuario desconocio ...

Necesitaria saber como identificar que version del cmd5checkpw tengo. Y si alguien esta sufriendo el mismo tipo de ataque y tiene una solución, por favor indicarme como proceder.

Muchas grácias

Saludos