+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: Spanish Corner (/forum-29.html)
+--- Thread: [Cerrado] spam en mi server (/thread-9911.html)
[Cerrado] spam en mi server - Puntonetsvb - 03-08-2010 07:17 PM
me llegan mensajes de hotmail diciendo que desde mi server se envió correo spam a sus usuarios.
me devuelve el mensaje y lo envia un tal chris33@yahoo.com
xxxx@yahoo.com
¿Como podría decirle a postfix que solo envien las cuentas locales?, he comprobado y no soy un open relay
RE: spam en mi server - kilburn - 03-08-2010 08:02 PM
A ver, lo primero que tienes que comprender es que la dirección del emisor puede ser diferente de la dirección utilizada para identificarse como usuario. Además, los programas que se ejecutan en tu máquina no requieren identificarse con usuario/contraseña para poder enviar correos. Por lo tanto, te pueden estar pasando tres cosas:
1. (lo más probable) Tienes una web vulnerable a través de la cual estan enviando los correos. Comprueba en el mail.log tus envios hacia hotmail (grep hotmail /var/log/mail.log) para intentar detectar desde qué usuario virtual se realizan los envíos. Una vez tengas el usuario, mira en los logs de apache de esa web a ver si hay más llamadas de lo normal a alguna página que envíe correos. Finalmente, desactiva esa página hasta que hayas corregido su problema.
2. (más raro pero posible) Alguna botnet ha conseguido acceso al ftp de alguno de tus usuarios. Como resultado, ha instalado ciertos programas cgi en tu server que utiliza para mandar correos directamente (sin pasar por postfix) y/o escanear otras máquinas en busqueda de vulnerabilidades, de rebentar contraseñas, lo que sea. Mira en las carpetas cgi-bin de tus webs a ver si encuentras algo sospechoso.
3. (más posible que 2, menos que 1) Alguno de tus usuarios ha sido infectado por un worm que utiliza sus credenciales para enviar mierda a través del postfix. Puedes utilizar "mailq" para ver los mensajes que hay en la cola de postfix. Si encuentras mensajes sospechosos luego buscar quien los ha enviado en /var/log/mail.log utilizando el identificador. Bloquea la cuenta de ese usuario hasta que se haya desinfectado.
RE: spam en mi server - Puntonetsvb - 03-08-2010 09:13 PM
Punto 1
No me aparece nada en mail.log como que se haya enviado a las direcciones que lo han recibido
Punto 2
He revisado y no me aparece nada en cgi-bin revise el codigo de los scripts a ver si alguno hiciera un mail( que no debiera y nada
Punto 3
Me aparecen varios mensajes pendientes, pero nada fuera de lo normal
RE: spam en mi server - kilburn - 03-08-2010 11:36 PM
Bueno, puedes probar lo siguiente para asegurarte que no hay ningún programa/cgi que envie correos sin pasar por postfix:
Code:
# iptables -I OUTPUT 5 -p tcp –dport 25 -m owner –uid-owner postfix -j ACCEPT
# iptables -I OUTPUT 5 -p tcp –dport 25 -m owner –uid-owner root -j ACCEPT
# iptables -I OUTPUT 5 -p tcp –dport 25 -j REJECT –reject-with-icmp-port-unreachableCon eso iptables rechazará todas las conexiones salientes a puerto 25 excepto las iniciadas por los usuarios root y postfix.
Si con esto te siguen llegando informes de hotmail como que estas mandando correos infectados, solo hay dos opciones:
1. Mira mejor en los logs de postfix, buscando los correos por identificador (si los avisos de spam llegan con cabeceras donde se pueda ver el id del mail original).
2. Hotmail te esta mandando informes viejos.
RE: spam en mi server - Puntonetsvb - 03-09-2010 07:13 PM
¿Pero y mis scripts que usan la función mail?
Funcionarian?
RE: spam en mi server - kilburn - 03-09-2010 07:23 PM
la función mail, a menos que hayas toqueteado cosas tu, envia los correos a través del comando "sendmail", quien simplemente los pone en la cola de postfix (a través del servicio "pickup"). Por lo tanto, sí: tus scripts deberían seguir pudiendo enviar correos.
RE: spam en mi server - Puntonetsvb - 03-09-2010 07:51 PM
Gracias Kilburn, efectivamente me acaba de llegar un mensaje de hotmail de spam de septiembre del año pasado