Foros del Web » Administración de Sistemas » Unix / Linux »

envio de spam

Estas en el tema de envio de spam en el foro de Unix / Linux en Foros del Web. Hola, tengo un servidor dedicado en ovh desde hace un tiempo donde alojo las webs de un grupo de empresas. El problema es que hace ...
  #1 (permalink)  
Antiguo 05/09/2016, 11:07
 
Fecha de Ingreso: mayo-2010
Mensajes: 103
Antigüedad: 14 años, 7 meses
Puntos: 4
envio de spam

Hola, tengo un servidor dedicado en ovh desde hace un tiempo donde alojo las webs de un grupo de empresas. El problema es que hace unos días el servidor empezó a enviar spam como loco y desde ovh me bloquearon la ip, después de algunos escarceos para eliminar este problema y de reactivar la ip 2 o 3 veces me entero que cada vez que reactivo la ip, el tiempo para volver a reactivar la ip se va incrementando, de modo que la siguiente vez que lo reactive tardará una semana en volver a darme la posibilidad, así que quiero estar seguro de que mo servidor ya no envía spam, pero no se como hacerlo, ¿será suficiente con levantar el smtp (postfix) y revisar los logs y la cola?, ¿si en estos no hay nada sospechoso puedo reactivar la ip?

Gracias por leerme y si alguien sabe lo que debo hacer, por favor que me lo diga.
__________________
salud
ainvar de los carnutos
  #2 (permalink)  
Antiguo 05/09/2016, 12:49
Avatar de franciscomarin  
Fecha de Ingreso: junio-2009
Ubicación: Terrassa, BCN, CAT
Mensajes: 2.414
Antigüedad: 15 años, 5 meses
Puntos: 327
Respuesta: envio de spam

Seguramente el problema venga por algún script que tengas en alguna de esas webs. Como medida preventiva yo desactivaría mail(), si eso lo soluciona el problema es de algún script (ten en cuenta las consecuencias que puede ocasionar desactivar mail()).

Por lo tanto, el servidor SMTP no tiene nada que ver aquí y muy probablemente en sus logs no veas nada.
  #3 (permalink)  
Antiguo 06/09/2016, 10:06
 
Fecha de Ingreso: mayo-2010
Mensajes: 103
Antigüedad: 14 años, 7 meses
Puntos: 4
Respuesta: envio de spam

Gracias por la respuesta, pero como puedo buscar ese script?
__________________
salud
ainvar de los carnutos
  #4 (permalink)  
Antiguo 10/09/2016, 03:26
Avatar de lauser
Moderator Unix/Linux
 
Fecha de Ingreso: julio-2013
Ubicación: Odessa (Ukrania)
Mensajes: 3.278
Antigüedad: 11 años, 5 meses
Puntos: 401
Respuesta: envio de spam

Si sigue un patrón más o menos conocido (seguro que si), el ClamAV lo detectara.
Lo instalas en el servidor, lo actualizas, etc...
Y analizas el server.

Análisis completo:
Código BASH:
Ver original
  1. clamscan -r -i /

Directorio de webs (puede ser otro diferente a home)
Código BASH:
Ver original
  1. clamscan -r -i /home

Es interesante que no borres la impresión, comando "i". De esta forma solo aparecerán en pantalla las cadenas de archivos infectados, si no te puedes hacer un lío.
El proceso puede tardar un rato, tu tranquilo... aunque tengas la terminal en negro el esta trabajando, como te comente anteriormente solo visualizaras progresivamente los infectados.
__________________
Los usuarios que te responden, lo hacen altruistamente y sin ánimo de lucro con el único fin de ayudarte. Se paciente y agradecido.
-SOLOLINUX-
  #5 (permalink)  
Antiguo 10/09/2016, 04:04
Avatar de franciscomarin  
Fecha de Ingreso: junio-2009
Ubicación: Terrassa, BCN, CAT
Mensajes: 2.414
Antigüedad: 15 años, 5 meses
Puntos: 327
Respuesta: envio de spam

Si no el LMD también te podrá ayudar bastante y, en mi experiencia, detecta mejor que el ClamAV.
  #6 (permalink)  
Antiguo 10/09/2016, 04:15
Avatar de lauser
Moderator Unix/Linux
 
Fecha de Ingreso: julio-2013
Ubicación: Odessa (Ukrania)
Mensajes: 3.278
Antigüedad: 11 años, 5 meses
Puntos: 401
Respuesta: envio de spam

LMD usa las bases de datos de clamav.
ClamAv tiene reglas personalizadas en prevención de scripts potencialmente peligrosos (como lineas codificadas), por eso mismo LMD es mucho mas rápido. Los dos son buenos productos, pero para analisis exhaustivos en profundidad... personalmente ClamAv desde terminal.
__________________
Los usuarios que te responden, lo hacen altruistamente y sin ánimo de lucro con el único fin de ayudarte. Se paciente y agradecido.
-SOLOLINUX-
  #7 (permalink)  
Antiguo 24/10/2016, 01:33
Avatar de MaBoRaK  
Fecha de Ingreso: abril-2003
Ubicación: La Paz - Bolivia
Mensajes: 2.003
Antigüedad: 21 años, 7 meses
Puntos: 35
Respuesta: envio de spam

loading....

Creo que deberias:

- desactivar la funcion 'mail' en php.ini
- eliminar todas las cuentas SMTP que tengas en el servidor o por lo menos cambiar sus contraseñas.
- Si aun no borraste el queue, deberias ver el header de los SPAM, ah'i se incluye el Header RECEIVED-FROM, con esto podras saber si es un email local o uno usando SMTP.

Tambien ser'ia bueno buscar rootkits en el sistema con: rkhunter

connection closed.
__________________

Maborak Technologies

Etiquetas: servidor, smtp, spam, virus
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:43.