Autor: GhOsTi

Publicado el

Como borrarse de una lista negra

Es una tarea habitual en los proveedores de alojamiento web  encontrarnos con ips de clientes que se insertan en listas negras. Las razones pueden ser variadas:

a) Un cliente en un servidor compartido o dedicado realiza un envío masivo de emails y alguien legítimamente o nó lo denuncia en una de las páginas que manejan estas listas negras.

b) Un spammer utiliza scripts de envío ilegítimos y realiza envíos masivos desde su dominio habiéndose aprovechado de alguna vulnerabilidad en el mismo dominio (aplicaciones php inseguras, mal programadas..etc.)

C) Su ordenador local tiene algún virus o troyano y está siendo utilizado para enviar emails y realizar diversas actividades maliciosas.

El resultado es que la IP del servidor de correo saliente es prohibida en alguna lista y los proveedores de internet y otros proveedores de internet que usan servicio de listas negras para su propio filtrado, no podrán recibir su correo, este será eliminado y filtrado directamente antes de llegar a su destinatario. El cliente que envía el correo recibirá normalmente un mensaje devuelto indicando que su email no ha podido ser entregado debido a que su IP (la del servidor de correo saliente o o la de su conexión adsl) se encuentra en alguna lista negra.

¿Qué podemos hacer?

1) Primero necesitamos comprobar que efectivamente la ip está listada.

Para comprobarlo podemos ir a esta URL http://www.mxtoolbox.com/blacklists.aspx?AG=GBL ó http://www.us.sorbs.net/lookup.shtml o directamente a la listas más importante como

http://www.spamcop.net/bl.shtml o http://www.spamhaus.org/lookup.lasso e introducir la IP de nuestro dominio y también, para salir de dudas, de nuestra IP local de conexión ADSL.

Si está listado podemos solicitar la baja de esa lista en esas webs citadas. El deslistado puede tardar 24-48 horas.  El caso más grave es estar listado en Hotmail. En este caso hay que escribir a Hotmail directamente para solicitar el deslitado en el formulario http://www.hotmail.msn.com/cgi-bin/dasp/ua_info.asp?pg=contact_hotmail&_lang=ES.

En el caso de estar listados por telefónica es necesario contactarles vía email en nemesys@telefonica.es

En cualquier caso antes de contactarles es necesario asegurarse que el envío de spam ha cesado y que hemos encontrado al responsable del envío del correo. En la mayoría de casos, un script en php o perl que ha sido subido desde la web aprovechándose de una vulnerabilidad de sus aplicaciones y scripts.

2) Si la Ip listada es de nuestra conexión y nuestra IP es fija, entonces deberíamos realizar  comprobar que en nuestros PCs no existen virus y no hay troyanos u otros bots que estén usando nuestra conexión para enviar spam.

3) Si la ip es del servidor,  es el proveedor web el que debe  de deslistar esa IP y averiguar quien ha sido el responsable del envío tomando las medidas necesarias para que no se vuelva a repetir ese tipo de abuso.

Fuente: http://blog.digitalvalley.com

Publicado el

Mostrar información del certificado SSL desde consola (CLI)

Este pequeño post que os escribo hoy os va a servir a todos aquellos sysadmins, que quieran monitorizar en (nagios por ejemplo) o simplemente ver las fechas de expiración u otros datos de los certificados SSL desde consola.

Para ver la fecha de expiración, usamos nmap:


 nmap -p 443 --script ssl-cert www.dominioquesea.com




Output

Starting Nmap 7.60 ( https://nmap.org ) at 2018-11-19 13:01 CET
Nmap scan report for dominioquesea.com (x.x.x.x)
Host is up (0.050s latency).

PORT STATE SERVICE
443/tcp open https
| ssl-cert: Subject: commonName=dominioquesea.com
| Subject Alternative Name: DNS:dominioquesea.com, DNS:dominioquesea.com
| Issuer: commonName=COMODO RSA Domain Validation Secure Server CA/organizationName=COMODO CA Limited/stateOrProvinceName=Greater Manchester/countryName=GB
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2018-11-19T00:00:00
| Not valid after: 2019-12-19T23:59:59
| MD5: f9a5 d0be 54fe 6409 86aa cb99 2f3f 0575
|_SHA-1: e213 f74b 41a9 2a3d fbe5 398e 8fed 9708 9500 feb3




curl --insecure -v https://www.google.com 2>&1 | awk 'BEGIN { cert=0 } /^\* SSL connection/ { cert=1 } /^\*/ { if (cert) print }'




Output:

* SSL connection using TLS1.2 / ECDHE_RSA_AES_128_GCM_SHA256
* server certificate verification SKIPPED
* server certificate status verification SKIPPED
* common name: www.google.com (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: C=US,ST=California,L=Mountain View,O=Google Inc,CN=www.google.com
* start date: Wed, 24 May 2017 17:39:15 GMT
* expire date: Wed, 16 Aug 2017 17:13:00 GMT
* issuer: C=US,O=Google Inc,CN=Google Internet Authority G2
* compression: NULL
* ALPN, server accepted to use http/1.1
* Connection #0 to host www.google.com left intact


echo | openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -enddate

Output:
notAfter=Jan 22 13:15:00 2019 GMT
Publicado el

Buscando al spammer «Nobody»

Probado en Plesk+Qmail en Ensim+Sendmail no logro arrancarlo y dicen que en Cpanel+Exim funciona perfecto.

Cuantas veces quisieramos saber quien esta enviando spam atraves de scripts php o cgi en nuestro server o que sitios estan comprometidos y los usan los spammers para sus cometidos. Si ud mira en su php.ini la funcion mail realiza un llamado directo a /usr/bin/sendmail esto es lo que pretendemos monitorear.

Este sencillo script crea un archivo log donde se almacena la actividad registrada por sendmail. Sirve tambien en caso de que nuestro servidor este comprometido en sus archivos temporales /tmp o /var/tmp o cualquier otro. La idea es intercambiar el binario de sendmail por este sript de perl y monitorear en /var/log/formmail.log toda al actividad de envio de correo.

Instalacion y configuracion.
1) Paramos qmail
service qmail stop
2) Hacemos Backup (Por nada te lo saltes; Respeta el nombre del backup ya que el perl lo usara)
mv /usr/sbin/sendmail /usr/sbin/sendmail.act
3) Crea el script de perl que reemplazara a /usr/sbin/sendmail
pico -w sendmail
4) Le asignanos permisos de ejecucion
chmod +x /usr/sbin/sendmail
5) Creamos el archivo de salida (El Log)
echo > /var/log/formmail.log
6) Le damos permisos al log
chmod 777 /var/log/formmail.log
7) Ya esta A hacer pruebas y a mirar el log


#!/usr/bin/perl

# use strict;

use Env;

my $date = `date`;

chomp $date;

open (INFO, «>>/var/log/formmail.log») || die «Failed to open file ::$!»;

my $uid = $>;

my @info = getpwuid($uid);

if($REMOTE_ADDR) {

print INFO «$date – $REMOTE_ADDR ran $SCRIPT_NAME at $SERVER_NAME \n»;

}

else {

print INFO «$date – $PWD – @info\n»;

}

my $mailprog = ‘/usr/sbin/sendmail.act’;

foreach (@ARGV) {

$arg=»$arg» . » $_»;

}

open (MAIL,»|$mailprog $arg») || die «cannot open $mailprog: $!\n»;

while ( ) {

print MAIL;

}

close (INFO);

close (MAIL);

Publicado el

OVH: Configurar red modo bridge en VM UBUNTU 18

Buenas tardes señores y señoras.
Después de un par de tickets intercambiados con el soporte de OVH, he dado con la configuración válida para configurar la red de una máquina virtual.
Deciros que no actualmente a fecha de 19 de septiembre 2018 no hay guía en español para configurar Ubuntu 18 en una máquina virtual, dentro de la red de OVH en un servidor dedicado propio. Continuar leyendo «OVH: Configurar red modo bridge en VM UBUNTU 18»

Publicado el

PAC Manager inicia pero no conecta por SSH

En el post anterior os expliqué como hacer funcionar PAC Manager en Ubuntu 17, en este post os doy la segunda solución cuando ya lo habeis echado a andar pero intentais conectar a cualquier servidor por SSH y se os queda colgado PAC Manager, y no conecta ni para atrás; de hecho se queda como pillado el ratón y no deja hacer click en otrO menú dentro de PAC Manager.


sudo apt install libglib2.0-dev libpango1.0-dev libvte-dev libvte-2.91-dev dh-make-perl libgtk2.0-dev
apt-get install pkg-config
cpan -i ExtUtils::Depends
cpan -i ExtUtils::PkgConfig
dh-make-perl --cpan Gnome2::Vte --build
dpkg -i libgnome2-vte-perl_0.11-1_amd64.deb
find /opt/pac/ -name "Vte.so*" -exec rm {} +

Fuente https://sourceforge.net/p/pacmanager/bugs/299/