24-11-2006, 12:44
|
חסום
|
|
חבר מתאריך: 13.03.04
הודעות: 1,502
|
|
כמו ששימי כבר אמר אתה אמור לראות את זה בלוגים של שרת הדואר. ד"א אתה אמור
לעבור עליהם תקופתית בדיוק בשביל לראות אם יש משהו חשוד.
אתה נתת מעט מאוד פרטים, אז קשה לי לייעץ למשהו ספציפי. באופן כללי הדרך היא
קודם כל לבדוק בLOGS של שרת הדואר כדי לנסות לאתר אם יש שליחת דואר זבל
דרכו וע"י מי.
המי הזה יהיה שונה והנה רק מספר דוגמאות:
- השרת דואר עצמו -השארת את הRELAY פתוח בטעות וכל אחד יכול להשתמש בשרת
הדואר שלך לשליחת דואר אלקטרוני, וכך גם מפיצי דואר הזבל.
- שרת הWEB - בד"כ מדובר בפירצה באחד הסקריפטים שמשמש לשליחת תגובות לדואר
אלקטרוני.
- משתמש אחר - שיש לו גישה לשרת ויכול להריץ תוכנות. ייתכן שמישהו פרץ לך לשרת.
אם מצאת את הדרך שבה הופץ דואר זבל - מיד טפל בה. אם לא חפש הלאה.
הלאה אתה צריך לבדוק אם השרת לא פרוץ, מאחר ושליחת דואר הזבל לא חייבת להיעשות
דרך שרת הדואר שלך. אם מישהו היצליח לפרוץ לשרת שלך הוא יכול להתקין תוכנת "שרת דואר"
משלו או סתם תוכנה שתשלח דואר זבל ישירות, בכל מקרה בלי להישתמש בתוכנת שרת
הדואר שלך.
הבדיקה הזאת מסובכת יותר כמובן ודורשת הרבה יותר ידע. אם מדובר בשרת WINDOWS
תזרוק אותו לפח ותתקין מערכת הפעלה נורמלית כמו .GNU/LINUX (ההפצה הספציפית לא
ממש חשובה ועניין של טעם אישי. אני אישית מעדיף את הקלונים של RHEL (כמו CENTOS)
וגם גירסת שרת של UBUNTU (שמבוסס על )DEBIAN עובד כלל לא רע). אחרת יהיה לך
בשרת מה שיש למרבית האנשים שמשתמשים בחלונות - אין סוף לרוגלות, טרוינים וכל מיני זבל.
אם אתה כבר משתמש בGNU/LINUX עבור על הלוגים, תבדוק תהליכים שרצים, ובמיוחד
אלה שמשתמשים בחיבור לרשת, תריץ תוכנה שתחפש ROOTKITS נפוצים כו'. אם אתה
מגלה שמישהו באמת פרץ למחשב שלך ולא סתם ניצל פירצה בתצורה או באג בסקריפט
אז, ותקשיב טוב אתה חייב להתקין את השרת מחדש, כי אין שום דרך לוודא ב100% שלא
נשאר שום ROOTKIT במערכת.
הכי חשוב הוא לנסות למצוא איך הפורץ היצליח לפרוץ לשרת? האם הסיסמאות היו פשוטות
מדי? האם לא עידכנת את השרת בכל העידכוני אבטחה? האם האבטחה לא מוגדרת נכון
בשרת (כולל מקרים שהשרתים רצים תחת ROOT)? כל זה תצטרך לבדוק.
|