Novedades:
No he encontrado en ningún mensaje, ni nuevos ni viejos de los de spam, que aparezca la línea de LOGIN para esos.
El "ataque" se hace cada cierto tiempo, no es permanente.
Se me está complicando! Pero le daremos pelea.
Saludos!
Encontré esto seguido, un par de líneas antes que empiecen los envíos de spam:
Dec 7 20:10:22 h1 postfix/smtpd[28278]: connect from r190-134-194-71.dialup.adsl.anteldata.net.uy[190.134.194.71]
Dec 7 20:10:23 h1 postfix/smtpd[28278]: warning: r190-134-194-71.dialup.adsl.anteldata.net.uy[190.134.194.71]: SASL NTLM authentication aborted
Dec 7 20:10:23 h1 postfix/smtpd[28278]: warning: SASL authentication failure: required parameters missing
Dec 7 20:10:23 h1 postfix/master[27386]: warning: process /usr/lib/postfix/smtpd pid 28278 killed by signal 11
Dec 7 20:10:23 h1 postfix/master[27386]: warning: /usr/lib/postfix/smtpd: bad command startup -- throttling
Luego viene esto (cuando comienzan los envíos):
Dec 7 20:10:49 h1 imapd: LOGIN, user={UNA_CUENTA_DE_CORREO_DE_UN_CLIENTE}, ip=[::ffff:127.0.0.1], port=[55936], protocol=IMAP
Dec 7 20:10:49 h1 postfix/pickup[27389]: 78973550515: uid=2000 from=<info@formandept.com>
Dec 7 20:10:49 h1 postfix/cleanup[28288]: 78973550515: message-id=<396beee415420e3228d377c286b37021@localhost>
Dec 7 20:10:50 h1 postfix/qmgr[27388]: 78973550515: from=<info@formandept.com>, size=2075, nrcpt=1000 (queue active)
Dec 7 20:10:51 h1 imapd: LOGOUT, user={UNA_CUENTA_DE_CORREO_DE_UN_CLIENTE}, ip=[::ffff:127.0.0.1], headers=0, body=0, rcvd=27982, sent=349, time=2
De ahí en más empiezan a repetirse:
Dec 7 20:10:51 h1 postfix/smtp[28312]: 78973550515: to=<aerow@netasia.com.pk>, relay=none, delay=2.3, delays=1.2/0.89/0.22/0, dsn=5.4.4, status=bounced (Host or
domain name not found. Name service error for name=netasia.com.pk type=A: Host not found)
...
Se puede culpar a {UNA_CUENTA_DE_CORREO_DE_UN_CLIENTE} por estar metido ahi en medio? Los tiempos son los mismos. Esto lo pude encontrar en el último ataque parando el servidor y revisando los mails. En ataques anteriores no lo he podido verificar.
Saludos!
Search
Member List
Calendar
Help
/
Se apoderaron de mi servidor! Ayuda por favor
