Current time: 11-13-2024, 05:18 PM Hello There, Guest! (LoginRegister)


Post Reply 
[Cerrado] spam en mi server
Author Message
Puntonetsvb Offline
Junior Member
*

Posts: 214
Joined: Nov 2008
Reputation: 0
Post: #1
[Cerrado] spam en mi server
me llegan mensajes de hotmail diciendo que desde mi server se envió correo spam a sus usuarios.

me devuelve el mensaje y lo envia un tal chris33@yahoo.com
xxxx@yahoo.com

¿Como podría decirle a postfix que solo envien las cuentas locales?, he comprobado y no soy un open relay
(This post was last modified: 03-13-2010 01:44 AM by kurgans.)
03-08-2010 07:17 PM
Find all posts by this user Quote this message in a reply
kilburn Offline
Development Team
*****
Dev Team

Posts: 2,182
Joined: Feb 2007
Reputation: 34
Post: #2
RE: spam en mi server
A ver, lo primero que tienes que comprender es que la dirección del emisor puede ser diferente de la dirección utilizada para identificarse como usuario. Además, los programas que se ejecutan en tu máquina no requieren identificarse con usuario/contraseña para poder enviar correos. Por lo tanto, te pueden estar pasando tres cosas:

1. (lo más probable) Tienes una web vulnerable a través de la cual estan enviando los correos. Comprueba en el mail.log tus envios hacia hotmail (grep hotmail /var/log/mail.log) para intentar detectar desde qué usuario virtual se realizan los envíos. Una vez tengas el usuario, mira en los logs de apache de esa web a ver si hay más llamadas de lo normal a alguna página que envíe correos. Finalmente, desactiva esa página hasta que hayas corregido su problema.

2. (más raro pero posible) Alguna botnet ha conseguido acceso al ftp de alguno de tus usuarios. Como resultado, ha instalado ciertos programas cgi en tu server que utiliza para mandar correos directamente (sin pasar por postfix) y/o escanear otras máquinas en busqueda de vulnerabilidades, de rebentar contraseñas, lo que sea. Mira en las carpetas cgi-bin de tus webs a ver si encuentras algo sospechoso.

3. (más posible que 2, menos que 1) Alguno de tus usuarios ha sido infectado por un worm que utiliza sus credenciales para enviar mierda a través del postfix. Puedes utilizar "mailq" para ver los mensajes que hay en la cola de postfix. Si encuentras mensajes sospechosos luego buscar quien los ha enviado en /var/log/mail.log utilizando el identificador. Bloquea la cuenta de ese usuario hasta que se haya desinfectado.
03-08-2010 08:02 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Puntonetsvb Offline
Junior Member
*

Posts: 214
Joined: Nov 2008
Reputation: 0
Post: #3
RE: spam en mi server
Punto 1
No me aparece nada en mail.log como que se haya enviado a las direcciones que lo han recibido

Punto 2

He revisado y no me aparece nada en cgi-bin revise el codigo de los scripts a ver si alguno hiciera un mail( que no debiera y nada

Punto 3

Me aparecen varios mensajes pendientes, pero nada fuera de lo normal
(This post was last modified: 03-08-2010 09:55 PM by Puntonetsvb.)
03-08-2010 09:13 PM
Find all posts by this user Quote this message in a reply
kilburn Offline
Development Team
*****
Dev Team

Posts: 2,182
Joined: Feb 2007
Reputation: 34
Post: #4
RE: spam en mi server
Bueno, puedes probar lo siguiente para asegurarte que no hay ningún programa/cgi que envie correos sin pasar por postfix:
Code:
# iptables -I OUTPUT 5 -p tcp –dport 25 -m owner –uid-owner postfix -j ACCEPT
# iptables -I OUTPUT 5 -p tcp –dport 25 -m owner –uid-owner root -j ACCEPT
# iptables -I OUTPUT 5 -p tcp –dport 25 -j REJECT –reject-with-icmp-port-unreachable

Con eso iptables rechazará todas las conexiones salientes a puerto 25 excepto las iniciadas por los usuarios root y postfix.

Si con esto te siguen llegando informes de hotmail como que estas mandando correos infectados, solo hay dos opciones:

1. Mira mejor en los logs de postfix, buscando los correos por identificador (si los avisos de spam llegan con cabeceras donde se pueda ver el id del mail original).
2. Hotmail te esta mandando informes viejos.
03-08-2010 11:36 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Puntonetsvb Offline
Junior Member
*

Posts: 214
Joined: Nov 2008
Reputation: 0
Post: #5
RE: spam en mi server
¿Pero y mis scripts que usan la función mail?

Funcionarian?
03-09-2010 07:13 PM
Find all posts by this user Quote this message in a reply
kilburn Offline
Development Team
*****
Dev Team

Posts: 2,182
Joined: Feb 2007
Reputation: 34
Post: #6
RE: spam en mi server
la función mail, a menos que hayas toqueteado cosas tu, envia los correos a través del comando "sendmail", quien simplemente los pone en la cola de postfix (a través del servicio "pickup"). Por lo tanto, sí: tus scripts deberían seguir pudiendo enviar correos.
03-09-2010 07:23 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Puntonetsvb Offline
Junior Member
*

Posts: 214
Joined: Nov 2008
Reputation: 0
Post: #7
RE: spam en mi server
Gracias Kilburn, efectivamente me acaba de llegar un mensaje de hotmail de spam de septiembre del año pasado
03-09-2010 07:51 PM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)