这里可以看出pointy.poisontooth.com正在运行sendmail/8.9.3。 　　 　　入侵者对sendmail发起攻击主要是因为： 　　 　　sendmail是公共服务，一旦它运行，任何人都能连接和使用它。 　　 　　sendmail通常以root身份运行。因此如果入侵者发现了一个可利用的漏洞，就可获得优先级高的访问权限。 　　 　　sendmail非常难配置，入侵者因此假设你会在安装中出问题（通常都成功）。 　以下是一些典型的sendmail攻击： 　　首先是MIME缓冲溢出漏洞。这种攻击不影响sendmail本身，而是sendmail发送邮件的客户。在这里，sendmail是工具而不是目标。计算机紧急反应小组是这样描述该攻击的： 　　攻击者向一个脆弱的系统发送一个精心设计的邮件消息，在某种情况下，攻击者选择的代码会在该系统上执行。另外，攻击者可以是脆弱的邮件程序突然崩溃。根据邮件客户正在运行的操作系统以及有问题的邮件客户程序的用户权限，攻击都可以使整个系统崩溃。如果一个权限高的用户用一个容易受攻击的邮件用户代理来阅读邮件，那么攻击者就可以获得进入系统的管理权限。 　　 　　再来看一下HELO缓冲溢出。在早于sendmail8.9的版本中，攻击者可以利用HELO命令传送非正常长度的字符串来伪装自己的发起的地址。如果一个攻击者发送HELO后面有至少1024字节的abc,那么消息头会如下所示： 　　 　　Fromattacker@attack.place.netWebFeb52231:511998 　　 　　Received:fromabcabcabcabcabcabcabcabcabcabcabcabcabcabcabcabcabcabcabcab→abcabcabcabcabcabc 　　 　　Date:Wed,5Feb199812:32:22+0300 　　 　　Fromattacker@attack.place.net 　　 　　非正常字符串隐藏了应正常显示发信者IP地址的信息。这种攻击方法，尽管不具危险，但攻击者可以利用它让sendmail转发邮件垃圾和创建难以跟踪的邮件。 　　 　　还有口令文件/Root访问，这是一个更可怕的攻击，它影响的是sendmail8.8.4。本地用户可以利用链接来获得root访问。这种攻击方法依赖于sendmail在/var/tmp/dead.letter后保存未投递的消息。 　　1.参考CA-98.10站点http://www.cert.org/advisories/CA-98.10.mime_buffer_overflows.htm。 　　 　　所有用户都可对/var/tmp进行写操作，因此本地攻击者可在/etc/passwd和/var/tmp/dead.letter间创建一个硬链接。然后向sendmail服务器发送一个不能投递的消息。在该消息体内，攻击者插入可被加到口令文件的一个用户帐号。 　　 　　当消息标记为不可投递，就会加到/var/tmp/dead.letter里面，而在/var/tmp/dead.letter有一个与/etc/passwd的硬链接。这就导致产生一个拥有Root权限的新系统帐号。 　　 　　Sendmail作为一个突出并且访问频繁的服务器，经常是攻击的目标。最近的一个攻击方法集中在sendmail报头解析代码上的一个漏洞。通过创建有大量TO：报头的消息，进攻者可使服务器停止运行。这种攻击方法对sendmail8.9.2和更早的版本有效，因此连最近安装的sendmail也受到影响。 　　 　　以上就是常用的对sendmail的攻击，因为sendmail本身安装不方便，还有很多安全漏洞，用户也可选择更好的工具Qmail。 　Web服务器安全 　　 　　保护Web主机安全首先就要去掉不必要的服务。去掉不必要的服务之前首先要明确的是：你要建立的是什么类型的主机。主机有三种类型： 　　 　　IntranetWeb主机--无Internet连接的主机，通常与一个局域网连接。 　　 　　私人或外部Web主机--与Internet相连但只对非常有限的客户提供服务的主机。 　　 　　公共或牺牲Web主机--知道或不知道的用户可以通过Internet，全天候公共访问的普通Web主机。 　　 　　每种不同的主机类型就决定了要提供不同的服务，不需要的服务一律屏蔽掉。这是因为将运行的服务很可能会打开安全漏洞。对于要运行的服务，就要实施访问控制，可以使用TCPWrapper工具包，这个工具提供对远程服务基于模式匹配的访问控制，可以利用它禁止或允许对某些用户的服务。减少服务后，就应在Web服务器上建立访问控制和认证。Apache是在LINUX中最流行的Web服务器。为网络访问控制建立规则，就要用到以下命令： 　　 　　#Controlswhocangetstufffromthisserver. 　　 　　Orderallow,deny 　　 　　Allowfromall 　　 　　这些命令提供了三条控制通道，allow命令控制哪台主机可以连接，deny控制哪台主机不可以连接，order命令则控制allow/deny命令执行的顺序。通过这些命令可以明确允许授权主机和阻止未授权主机。 　　 　　Apache的安全设置有很多选项，这些设置已足够严格，但是选项的不同配置方法都会引起安全问题。例如，ExecCGI选项，是选择是否允许CGI程序运行，CGI程序很不安全，所以，能不用执行CGI程序，就尽量不执行。还有别的选项会有不同的问题，安装时要注意。目前Apache除了提供基本类型认证，还支持使用MD5的基于摘要的加密认证。