envio de spam

ainvar57 · #1 (**permalink**) 05/09/2016, 11:07

Hola, tengo un servidor dedicado en ovh desde hace un tiempo donde alojo las webs de un grupo de empresas. El problema es que hace unos días el servidor empezó a enviar spam como loco y desde ovh me bloquearon la ip, después de algunos escarceos para eliminar este problema y de reactivar la ip 2 o 3 veces me entero que cada vez que reactivo la ip, el tiempo para volver a reactivar la ip se va incrementando, de modo que la siguiente vez que lo reactive tardará una semana en volver a darme la posibilidad, así que quiero estar seguro de que mo servidor ya no envía spam, pero no se como hacerlo, ¿será suficiente con levantar el smtp (postfix) y revisar los logs y la cola?, ¿si en estos no hay nada sospechoso puedo reactivar la ip?

Gracias por leerme y si alguien sabe lo que debo hacer, por favor que me lo diga.

franciscomarin · #2 (**permalink**) 05/09/2016, 12:49

Seguramente el problema venga por algún script que tengas en alguna de esas webs. Como medida preventiva yo desactivaría mail(), si eso lo soluciona el problema es de algún script (ten en cuenta las consecuencias que puede ocasionar desactivar mail()).

Por lo tanto, el servidor SMTP no tiene nada que ver aquí y muy probablemente en sus logs no veas nada.

ainvar57 · #3 (**permalink**) 06/09/2016, 10:06

Gracias por la respuesta, pero como puedo buscar ese script?

lauser · #4 (**permalink**) 10/09/2016, 03:26

Si sigue un patrón más o menos conocido (seguro que si), el ClamAV lo detectara.
Lo instalas en el servidor, lo actualizas, etc...
Y analizas el server.

Análisis completo:

Código BASH:

Ver originalclamscan -r -i /

Directorio de webs (puede ser otro diferente a home)

Código BASH:

Ver originalclamscan -r -i /home

Es interesante que no borres la impresión, comando "i". De esta forma solo aparecerán en pantalla las cadenas de archivos infectados, si no te puedes hacer un lío.
El proceso puede tardar un rato, tu tranquilo... aunque tengas la terminal en negro el esta trabajando, como te comente anteriormente solo visualizaras progresivamente los infectados.

franciscomarin · #5 (**permalink**) 10/09/2016, 04:04

Si no el LMD también te podrá ayudar bastante y, en mi experiencia, detecta mejor que el ClamAV.

lauser · #6 (**permalink**) 10/09/2016, 04:15

LMD usa las bases de datos de clamav.
ClamAv tiene reglas personalizadas en prevención de scripts potencialmente peligrosos (como lineas codificadas), por eso mismo LMD es mucho mas rápido. Los dos son buenos productos, pero para analisis exhaustivos en profundidad... personalmente ClamAv desde terminal.

MaBoRaK · #7 (**permalink**) 24/10/2016, 01:33

loading....

Creo que deberias:

- desactivar la funcion 'mail' en php.ini
- eliminar todas las cuentas SMTP que tengas en el servidor o por lo menos cambiar sus contraseñas.
- Si aun no borraste el queue, deberias ver el header de los SPAM, ah'i se incluye el Header RECEIVED-FROM, con esto podras saber si es un email local o uno usando SMTP.

Tambien ser'ia bueno buscar rootkits en el sistema con: rkhunter

connection closed.