La Rebelión de los spammers

La Rebelión de los spammers es un interesante artículo de David Barroso que leí hace años y ahora lo he vuelto a encontrar por casualidad. El documento habla de la metodología que usa para localizar e identificar procesos maliciosos, cómo identifica el fallo de seguridad, y análisis del enemigo. Se detalla el uso de herramientas de sistema lsof, strace, etc.. etc… Aunque para muchos este tipo de tareas es trivial por realizarlas a diario, no deja de ser un documento interesante para leer.

Dejo copia en el servidor del documento que he localizado en http://his.sourceforge.net/proy_his/papers/spammers/spammers.es.html del proyecto Honeynet In Spanish aparantemente muerto en 2006

El documento lo podeis encontrar en http://www.hostingaldescubierto.com/rebelion-spammers/spammers.es.html

Plesk 9.5 : lista para instalar – CORREGIDO

Aunque hace varias semanas hacíamos referencia a que estaba disponible Plessk 9.5, al día siguiente fue retirada de los repositorios. Según comentarios del equipo de Parallels era una beta para algunos clientes, aunque lo habitual es que lo liberen para que un pequeño grupo de usuarios actualice creyendo que es estable y probarles como cobayas 😀

Desde antes de ayer ( más o menos) vuelve a estar disponible, aunque no ha sido oficialmente publicado. Seguramente sea la release final ya que en el KA ( panel de gestión de las licencias ) de Parallels aparecen disponibles ya las licencias de 9.5. Este hecho hace pensar que Plesk 9.5 marcará un cambio en la linea de Parallels ( marketing, funcional… habrá que verlo )

Desde la versión Plesk 8.6, que a mi gusto ha sido la mas estable y con mejor rendimiento desde las 6.x, la gente de Parallels no ha estado muy acertada con los cambios y han estado plagadas de bugs , sobretodo relacionados con postfix, qmail, spamasassin, drweb y domain keys y la basura del nuevo sistema de backup ( or decir algo elegante ) . Por todo ello no recomendaría instalar esta nueva versión en producción al menos hasta que salga Plesk 9.5.1 o 9.5.2 que seguro no tardarán mas de un mes desde que la liberen oficialmente.

No obstante para los intrépidos y los testers que quieran estar a la última , aqui teneis los repositorios para probarlas:

  • Centos

  • cat > /etc/yum.repos.d/CentOS-Plesk9.repo << EOF

    [plesk9-base]
    name=CentOS-Plesk9 – Base
    baseurl=http://autoinstall.plesk.com/PSA_9.5.0/dist-rpm-CentOS-$releasever-$basearch/
    gpgcheck=0
    enabled=1

    [plesk9-thirdparty]
    name=CentOS-Plesk9 – thirparty
    baseurl=http://autoinstall.plesk.com/PSA_9.5.0/thirdparty-rpm-CentOS-$releasever-$basearch/
    gpgcheck=0
    enabled=1

    [plesk9-updates]
    name=CentOS-Plesk9 – Updates
    baseurl=http://autoinstall.plesk.com/PSA_9.5.0/update-rpm-CentOS-$releasever-$basearch/
    gpgcheck=0
    enabled=1
    EOF

  • Debian

  • Etchcat > /etc/apt/sources.list.d/Plesk950.list << EOF
    deb http://autoinstall.plesk.com/debian/PSA_9.5.0 etch all
    EOF

  • Lenny:
    cat > /etc/apt/sources.list.d/Plesk950.list << EOF
    deb http://autoinstall.plesk.com/debian/PSA_9.5.0 lenny all
    EOF

[ALERTA] No actualizar servidores Plesk 9.3 a openssl 0.9.8e-12.el5_4.6 – ACTUALIZADO

La nueva versión de openssl ( 0.9.8e-12.el5_4.6 ) está ocasionando problemas con Plesk 9.3.0.

El síntoma es que el demonio sw-cp-server falla al arrancar:


/etc/init.d/sw-cp-server restart
Restarting SWsoft control panels server... stale pidfile. [FAILED]dfile.

En el log de swp-cp-server pemos observar estas lineas :


tail /var/log/sw-cp-server/error_log
2010-03-29 12:50:48: (log.c.75) server started
2010-03-29 12:50:48: (network.c.336) SSL: error:00000000:lib(0):func(0):reason(0)
2010-03-29 12:50:51: (log.c.75) server started
2010-03-29 12:50:51: (network.c.336) SSL: error:00000000:lib(0):func(0):reason(0)
2010-03-29 12:50:51: (log.c.75) server started
2010-03-29 12:50:51: (network.c.336) SSL: error:00000000:lib(0):func(0):reason(0)
2010-03-29 12:59:46: (log.c.75) server started
2010-03-29 12:59:46: (network.c.336) SSL: error:00000000:lib(0):func(0):reason(0)
2010-03-29 12:59:46: (log.c.75) server started
2010-03-29 12:59:46: (network.c.336) SSL: error:00000000:lib(0):func(0):reason(0)

Por ahora se recomienda reinstalar la versión anterior ( openssl-0.9.8e-12.el5_4.1 disponible aqui )


yum downgrade openssl*

Actualización:
En caso de estar usando un vps puede realizar los siguientes pasos:rpm –erase –nodeps openssl-0.9.8e-12.el5_4.6

puede encontrarse con este error si usa arquitectura x86_65rpm –erase –nodeps openssl-0.9.8e-12.el5_4.6
error: “openssl-0.9.8e-12.el5_4.6” specifies multiple packages

En este caso proceder la manera siguiente:rpm –erase openssl-0.9.8e-12.el5_4.6.x86_64 –nodeps
rpm –erase openssl-0.9.8e-12.el5_4.6 –nodeps

y para instalar la versión válida:vzpkg install VEID -p openssl-0.9.8e-12.el5_4.1.x86_64

o descargar el rpm e instalar dentro del vpscd /usr/src
wget ftp://ftp.pbone.net/mirror/ftp.centos.org/5.4/updates/x86_64/RPMS/openssl-0.9.8e-12.el5_4.1.x86_64.rpm
rpm -ivh openssl-0.9.8e-12.el5_4.1.x86_64.rpm

y reiniciar el servicio/etc/init.d/sw-cp-server restart

Esperamos que en breve Parallels libere una actualización para corregir el problema.

ACTUALIZACION 2

Cuidado si eliminas los rpm de openssl antes de tener el nuevo rpm ya puedes encontrarte con cosas así:


wget ftp://ftp.pbone.net/mirror/ftp.centos.org/5.4/updates/x86_64/RPMS/openssl-0.9.8e-12.el5_4.1.x86_64.rpm
wget: error while loading shared libraries: libssl.so.6: cannot open shared object file: No such file or directory

empiezan los sudores….


# curl ftp://ftp.pbone.net/mirror/ftp.centos.org/5.4/updates/x86_64/RPMS/openssl-0.9.8e-12.el5_4.1.x86_64.rpm
curl: error while loading shared libraries: libssl.so.6: cannot open shared object file: No such file or directory

más sudor frío ….


$ scp openssl-0.9.8e-12.el5_4.1.x86_64.rpm root@10.0.1.1:/root
ssh_exchange_identification: Connection closed by remote host
lost connection

con esto ya te quedas blanco 😉


# /etc/init.d/sshd restart
Stopping sshd: [FAILED]
Starting sshd: /usr/sbin/sshd: error while loading shared libraries: libcrypto.so.6: cannot open shared object file: No such file or directory
[FAILED]

Por supuesto yum tampoco funciona, así que si tenemos aún una sesión abierta lo vamos a solucionar facilmente así :


GET ftp://ftp.pbone.net/mirror/ftp.centos.org/5.4/updates/x86_64/RPMS/openssl-0.9.8e-12.el5_4.1.x86_64.rpm > openssl-0.9.8e-12.el5_4.1.x86_64.rpm
rpm -ivh openssl-0.9.8e-12.el5_4.1.x86_64.rpm

PARCHES
Parallels ha publicado los parches correspondientes a este problema en
http://kb.parallels.com/en/8338

[mysql] Reparar todas las tablas dañas ‘ marked as crashed ‘

A veces un apagón repentino o la muerte de nuestro proceso de mysql puede provocar errores de tablas mal cerradas. Sobretodo en tablas de sesiones, logins, etc..mysqld[2978]: 100318 7:34:27 [ERROR] /usr/sbin/mysqld: Incorrect key file for table ‘./home/tlr_boards.MYI’; try to repair it

mysqld[2978]: 100318 16:44:46 [ERROR] /usr/sbin/mysqld: Table ‘./home/tlr_sessions’ is marked as crashed and last (automatic?) repair failed

A veces lanzar un mysqlcheck -A no es suficiente, pero con este script sí conseguimos reparar todas las tablas :

for database in $(mysql --skip-column-names -uadmin -p`cat /etc/psa/.psa.shadow` -e "show databases" ); do echo "bd: $database"; for table in $(mysql --skip-column-names -uadmin -p`cat /etc/psa/.psa.shadow` -e "show tables" $database ); do echo "reparando $table " ; mysqlcheck -uadmin -p`cat /etc/psa/.psa.shadow` -r $database $table ; done ; done ;

Tras la reparación en el log podremos ver algo como esto:mysqld[2978]: 100318 16:45:49 [Note] Found 1821 of 295 rows when repairing ‘./home/tlr_messages’
mysqld[2978]: 100318 16:45:50 [Note] Found 222 of 1 rows when repairing ‘./home/tlr_sessions’

Mar 13 05:40:51 HORDE [emergency] [horde] DB Error: connect failed: [nativecode=Too many connections] ** Array [on line 1637 of “/usr/share/psa-horde/lib/Horde/DataTree/sql.php”]

El error lo podemos localizar en /var/log/psa-horde/psa-horde.log. Al igual que todos los errores de Horde van a este log. En este caso consiste en que la base de datos no admite más conexiones. Bien puedes usar una herramienta para optimizar la configuración de la base de datos o si tienes una configuración por defecto y te urge ( 400 por poner una cantidad bastante alta ) :

max_connections = 400
max_user_connections = 400

en el fichero /etc/my.conf y reiniciar el demonio.

[drweb] desactivar notificaciones ( actualizado )

Una de las cosas más tediosas del antivirus drweb para Plesk, son las notificaciones. Con los cambios recientes en Plesk, todos los correos para el administrador ahora sí son enviados a la cuenta de administrador del panel.

Uno de los mensajes más reptitivos es el aviso de caducidad de la licencia. Si usted tiene un panel de Plesk puede que esté recibiendo este email de forma reiterada:

Dear Administrator,
Your Dr.Web license key file /opt/drweb/drweb32.key will expire in 13 days !
The Dr.Web daemon will not work after this period if you have not another valid keys.
Key info: ...

La forma de desactivarlo es la siguiente:

  • Edita el fichero /etc/drweb/drweb32.ini
  • Localiza la variable NotifyPeriod y asignala el valor 0 de esta forma NotifyPeriod = 0
  • Reinicia drweb /etc/init.d/drweb restart

Otras notificaciones constantes son las de notificaciones de virus. Para desactivarlas :

  • Edita el fichero /etc/drweb/drweb_qmail.conf
  • Localiza y modifica las variables de forma que queden de la siguiente forma: [VirusNotifications]
    SenderNotify = no
    AdminNotify = no
    RcptsNotify = no
  • Reinicia drweb /etc/init.d/drwebd restart

Fuente de la información: rackerhacker.com y Plesk KB
disable DrWeb notifications when infected mail is found

ACTUALIZACION:
En la version Plesk 9.5 el fichero de configuración es /etc/drweb/drweb_handler.conf

[dominios] Ahora tu dominio .es quedará libre en 10 días si no pagas!

Para mañana 13/03/2010 se prevee una parada de mantenimiento del Sistema de Gestión de Nombres de Dominio: El sistema no estará disponible durante todo el día 13/03/2010, pudiendo sufrir cortes intermitentes durante el día 14/03/2010.

Este corte coincide con la entrada en funcionamiento de la “Instrucción del Director General de Red.es de 2 de enero de 2010”, que incluirán estos cambios:

  • Plazos de alta y renovación ampliados a 10 años
  • Eliminación de la cola de solicitudes de alta de dominios
  • Desactivación temporal cuando el dominio esté pendiente de renovar ( Fecha de caducidad)
  • Un dominio desactivado tiene 5 días para pagar y de lo contrario en 10 días quedará libre
  • Se podrá cambiar la persona de contacto administrativo
  • Se ejecutará la baja de un dominio en un plazo de 10 días desde la confirmación

Información más detallada en Instrucción de procedimientos nombres dominio de 2 de enero de 2010

Además en este enlace, podeis consultar la forma en que se lleva a cabo una resolución sobre conflictos de la utilización de nombres de dominios “.es”. Se comentan cuales son los usos incorrectos o abusivos, el reglamento, etc.. etc..

Plesk 9.5

Siguiendo con la linea anterior de otras releases , Parallels ha liberado temporalmente su version 9.5 y aún no está disponible para los demás clientes.
Según este comentario en el foro de Parallels, sólo está disponible para ‘testear’
http://forum.parallels.com/showthread.php?t=99362

Pero lo cierto es que Parallels libera durante unas horas las nuevas releases para que algunos usuarios incautos las instalen y así probar qué tal funciona.

Dado que la release aún no ha sido liberada todo apunta a que Plesk 9.5 viene cargado de fallos. Mucho cuidadado con la nueva versión. Esperamos estar equivocados.