Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 730 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hacker used my Astaro 4.012 for spam.

Junk
Hi.
I'm totally novice regarding Linux and firewalls.
About 2 weeks ago I installed the Astaro, and I guess that I missed some setting cause I allowed "any" on the HTTP and Socks proxy.
So some nasty little hacker used the firewall to send out spam mails and my provider cut my internet line.
Now I'm up again but I'm checking the behavior of the firewall every day.
Is it possible for the hacker to install some program that will send out more mails cause I had "any" on the proxies?
(do I have to reinstall?)
I'm checking the logfiles also but dont really know if that helps (did not see anything when the wall sent out the mails) what logfile should I look in??? and what should I look for?
Sorry for all the questions but I'm learning [:)]....
Regards
/Junk
  


This thread was automatically locked due to age.
  • 0
    The Any for the HTTP alone would not easily compromise your system (though it will lend itself to exploit, as you found out!). The most practical course of action is to:
    • Backup the configuration
    • Reinstall
    • Restore your configuration
    • check your settings to see that the basic principle throughout is "Default Deny"
    [/list]

    The reason for this is the fact that a hacker 'knew' where your quasi-exploitable machine was, and who knows what other attack tools he might have tried;
    uinlikely he succeeded against a hardened Linux, but why take chances??
       
  • 0
    Sounds like you may have had an unsecured SMTP server running somewhere.  If that's the case, someone was probably relaying through your mail server.

    Unless you're handling your own mail, shut down any SMTP services, including IIS SMTP, sendmail, or anything of that nature.

    lk  
  • 0 in reply to LKraven
    I have now reinstalled the firewall.
    I belive that the hacker used my HTTP proxy for the abuse.
    I have the IIS installed but only the FTP service and the mails was sent all 24 hours of the day even when the FTP computer was shutdown.
    Thank's for the advise, looking forward to learn more about Linux and about this firewall.
    /Junk