このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

qmailのメールサーバ間通信暗号化でINFECTEDエラー このメッセージに返信する
日時: 2008/01/22 17:47
名前: ヒデ
URL:

centOS5でqmaiを使ってメールサーバを立てています。
が、メールサーバー間通信暗号化の所でつまづいてしまって解決できません。
一応このページにあるように組んではいるのですが# chkrootkit | grep INFECTEDを実行すると次のエラーを返されます。

Checking `bindshell'... INFECTED (PORTS: 465)

SMTPとSMTPSの違いといえばSMTPでは
-x /etc/tcp.smtp.cdb 0 smtp \

となっているところがSMTPSでは
-n /var/qmail/cert.pem -x /etc/tcp.smtp.cdb 0 smtps \

になっているところぐらいなんですけど、どうもこの1行でINFECTEDが返されるみたいです。
色々とやってはみたたのですが僕の知恵では解決することが出来ません。

どなたか解決策をご存知の方がいらっしゃるのであればご教授よろしくお願いいたします。
記事編集 編集
Re: qmailのメールサーバ間通信暗号化でINFECTE このメッセージに返信する
日時: 2008/01/23 16:45
名前: ヒデ
URL:

一応、メールサーバ構築でSMTPの場合INFECTEDは出ません。
SMTPSの
    # SMTPS
tcpserver -qvs -l0 -HR -u `id -u qmaild` -g `id -g qmaild` \
-n /var/qmail/cert.pem -x /etc/tcp.smtp.cdb 0 smtps \
qmail-smtpd `hostname` /bin/checkpassword /bin/true 2>&1|\
splogger smtps &
ここでINFECTEDを返されるみたいです。
試しにこの行をすべて削除するとINFECTEDは返されません。

解決策よろしくお願いいたします。
記事編集 編集
Re: qmailのメールサーバ間通信暗号化でINFECTE このメッセージに返信する
日時: 2008/01/30 04:08
名前: ヒデ
URL:

qmailをあきらめPostfixでメールサーバを立てようと考えたのですが、やはりメールサーバ間通信暗号化のところでPostfixでも…

Checking `bindshell'... INFECTED (PORTS: 465)

のエラーを返されます。

qmailでもPostfixでもポート465は通っており暗号化をしてもメールの送受信はおこなえる状態です。
ルーターの問題かとも思いましたが他のポートではINFECTEDを返されないので確立は低いと思いつつも、一応初期化して再度ルーターの設定をしてもやはり同じでした。

あと考えられるのはファイアウォールの関係ぐらいしかなく、ここのページにあるようにiptablesを組んで一つ気になることが…
それは./iptables.shでファイアウォールを実行した時に最終行は

iptables ファイアウォールルールを適用中: [ OK ]

で終わるところがさらにもう一行

iptables モジュールを読み込み中ip_conntrack_netbios_ns [ OK ]

と出されます。
この「ip_conntrack_netbios_ns」っていったいなんなんでしょうか?
どうもここが引っかかっているのですが今回の件とは関係ないのでしょうか?
記事編集 編集
Re: qmailのメールサーバ間通信暗号化でINFECTE このメッセージに返信する
日時: 2008/01/30 17:09
名前: ヒデ
URL:

過去レス
http://fedorasrv.com/bbshtml/webpatio/1209.shtml
にまったく同じレスがありました。(OSは4ですが…)
一応rootkitの方でも# vi chkrootkitで
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
とポート465の対応はしているようなのでINFECTEDのメールが送られてくるかどか1日様子を見ようと思います。
記事編集 編集
Re: qmailのメールサーバ間通信暗号化でINFECTE このメッセージに返信する
日時: 2008/02/01 21:36
名前: ヒデ
URL:

様子を見ましたがINFECTEDのメールは送られてこないようです。
しかしながらポート465をメールを止めるのはあまりスマートとは言えませんね。
根本的な対策が早く欲しいものです。

これでクローズにします。
お騒がせいたしましたm(_ _)m
記事編集 編集
管理人様へ このメッセージに返信する
日時: 2008/02/01 21:53
名前: ヒデ
URL:
スレッド作成時のパスワードがエラーになってしまいます。
お手数だとは思いますが解決済みにしていただけないでしょうか?
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -