20/04/2007, 15:37
| |||
| |||
| como se detecta un SPAMMER (WHM) Hola, unos usuarios dejaron unos directorios en 777 Algunos hackers subieron PISHING, luego borramos todo eso gracias a que nos escribieron del banco afectato con URL del WEB afectado... Pero ahora hemos detectado el envio de SPAM.... Como puedo saber el usuario que lo envia ? Como saber en que directorio estan esos files ? El proveedor se limito a decir: "Eso es problema de ustedes"... Gracias por la ayuda. Que comando puedo correr en este INUX con WHM ? |
|
20/04/2007, 16:58
| ||||
| ||||
| Re: como se detecta un SPAMMER (WHM) Cita: Supongo que el servidor es no-manejado, ¿correcto? Es más, ¿estás en un servidor dedicado?
Iniciado por MonicaH El proveedor se limito a decir: "Eso es problema de ustedes"... De todas maneras me parece una respuesta muy pobre. Si la IP de ese servidor queda en una lista negra (que es lo más probable que ocurrirá), el proveedor también se verá afectado... con lo entretenido que es hacer los trámites para retirar una IP de varias listas negras... Lo más recomendable es que contrates los servicios de un profesional para casos como estos (y para que administre y asegure tu servidor apropiadamente y lo tenga actualizado) o que contrates un servidor completamente administrado para que se encarguen de todo esto por tí. Puedes intentar revisar los registros del servidor de correo y allí quizás podrías tener una idea del origen. Puedes buscar esos mismos directorios que tenían permisos 777 y quizás encuentres el script sospechoso, pero a lo mejor puede ser un formulario web vulnerado. Puedes ir a este sitio y hacer tests de Mail Relay: http://www.abuse.net/relay.html En WHM >> Tweak Settings puedes marcar esta opción (aunque te podrá traer más problemas con otros usuarios/scripts): Prevent the user 'nobody' from sending out mail to remote addresses (php and cgi scripts generally run as nobody if you are not using phpsuexec and suexec respectively.) Y hay muchas otras cosas más para hacer y por dónde buscar... Saludos,
__________________ Planes VPS en el mundo > DirectorioVPS Visita los foros de hosting de ComunidadHosting |
|
20/04/2007, 22:14
| ||||
| ||||
| Re: como se detecta un SPAMMER (WHM) Primero, si es un server no manejado, contrata a un SysAdmin que pueda ayudarte a resolver esto, o de lo contrario si quieres hacerlo tu misma, puedes seguir los consejos aquí brindados. Adicionalmente a la buena medida que ha comentado Apolo ( que seguro te librará de este problema, pero te podrá causar otros ), menciono otras que te ayudarán a hacerte más fácil encontrar al spammer. 1 - Desde WHM como root, ve a Tweak Settings: 2 - Setea el valor de "50" para "The maximum each domain can send out per hour", lo cual limitará la salida de mails por hora en cada dominio. 3 - También desde WHM, en el menú izquierdo, ve a "Exim Configuration Editor ", y luego pincha en "Advanced Editor". En la primer caja de texto, pega lo siguiente al principio: "log_selector = +arguments +subject" y guarda los cambios. Ahora tienes un logueo extendido de todo lo que pasa por Exim. 4 - También te sugiero recompilar apache con PHP-Suexec activado, aunque puede causarte ciertos conflictos con scripts de tus clientes. 5 - Mira siempre los logs desde el shell, siempre hay rastro de todo.. /var/log/exim_maillog 6 - Asegurate de que tus sitios posean siempre sus aplicaciones y scripts actualizados. Saludos,
__________________ Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux |
|
21/04/2007, 02:12
| |||
| |||
| Re: como se detecta un SPAMMER (WHM) Hola MonicaH, no respondo a tu pregunta, pero esta muy relacionado: Este URL: http://www.members.iinet.net.au/~remmie/relay/ Y este es uno muy bueno: http://www.siteadvisor.com/sites/ Última edición por Anarko; 21/04/2007 a las 02:25 |
|
21/04/2007, 02:26
| |||
| |||
| Re: como se detecta un SPAMMER (WHM) Gracias, hace meses trabajamos con SAFE_MODE=1 Me dicen que utilice PHP-suEXEC eso va es en APACHE ? Tonces los del SERVER me deben recompilar el APACHE ?... Aqui también tengo VIRTUOZZO... PEro no parece servir de mucho... Algunas cosas no las he podido hacer desde ahi. APOLO ya habia ido a esa página, al final solo me dice: "Hmmn, at first glance, host appeared to accept a message for relay. " También he borrado los DIR 777. Y los he cambiado a 001 Lo que se me hace extraño es que este server me envia un mail cada vez que se sube un file para correos al server. SIEMPRE LOS MIRO, pero hasta ahora no me ha enviado ni uno solo de SPAM. Sera que no lo estan haciendo con files en el server sino explotando lineas de comandos... ? |
|
21/04/2007, 12:30
| ||||
| ||||
| Re: como se detecta un SPAMMER (WHM) Cita: Con PHPSuEXEC activado, puedes indentificar más fácilmente a un usuario que esta abusando del sistema ya que corre los scripts ( incluidos los de enviar e-mail ) identificado por el user real del dominio, y no como el usuario de apache ( conocido como "nobody" en cPanel ).
Iniciado por MonicaH  Gracias, Me dicen que utilice PHP-suEXEC eso va es en APACHE ? Tonces los del SERVER me deben recompilar el APACHE ?... Aqui también tengo VIRTUOZZO... PEro no parece servir de mucho... También he borrado los DIR 777. Y los he cambiado a 001 Lo que se me hace extraño es que este server me envia un mail cada vez que se sube un file para correos al server. SIEMPRE LOS MIRO, pero hasta ahora no me ha enviado ni uno solo de SPAM. Sera que no lo estan haciendo con files en el server sino explotando lineas de comandos... ? Lo que comentas, que te envia un e-mail es totalmente normal, es solo una alerta de que han subido un script php, perl, cgi, etc que permite envio de e-mails y podría ser usado por spammers. Seguramente, te estén explotando algún formulario de correo que use viejas versiones de formmail, o simplemente, un formulario vulnerable. Saludos, PD: mi mensaje número 1000 
__________________ Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux |
|
21/04/2007, 13:19
| |||
| |||
| Re: como se detecta un SPAMMER (WHM) No solo es tu mensaje #1000 WebTech, sino que me fui de curiosa a mirar tu perfil y "Oh sorpresa"... Este usuario solo ha ABIERTO, INICIADO, OPEN 1 solo ticket de 1000... Que peculiar... Ya que nadie lo hace, podrias contestarme: http://www.forosdelweb.com/f58/como-saber-si-apache-corre-con-php-suexec-483534/ |
|
21/04/2007, 14:16
| ||||
| ||||
| Re: como se detecta un SPAMMER (WHM) Cita: Así es, dedico mi tiempo en FDW a responder dudas y consultas de otros usuarios, que además también es una gran ayuda para aprender
Iniciado por MonicaH No solo es tu mensaje #1000 WebTech, sino que me fui de curiosa a mirar tu perfil y "Oh sorpresa"... Este usuario solo ha ABIERTO, INICIADO, OPEN 1 solo ticket de 1000... Que peculiar... , incluso con cosas que aveces hasta desconozco su solución sin previa investigación. Cita: Ya esta contestado, espero que te sirva.  Saludos,
__________________ Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux Última edición por WebTech; 21/04/2007 a las 14:26 |
|
06/07/2007, 13:59
| |||
| |||
 Re: como se detecta un SPAMMER (WHM) Estimados, perdón por retomar un tema de hace unos meses, pero cuando lo leí hay una cosa que no me quedó clara, la opción dentro del WHM: Prevent the user "nobody" from sending out mail to remote addresses (PHP and CGI scripts generally run as nobody if you are not using PHPSuexec and Suexec respectively.)
Muchos saludos, Daniel |
|
06/07/2007, 15:31
| ||||
| ||||
| Re: como se detecta un SPAMMER (WHM) Hola Daniel, 1.- No, a menos que tengas problemas SERIOS de SPAM saliente de tu servidor y sea una emergencia, no recomiendo activarlo. 2.- Al no ser conveniente, paso al otro punto 3.- phpsuexec no debería ocasionar ningún problema con esta opción, son cosas independientes. Saludos,
__________________ Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux Última edición por WebTech; 06/07/2007 a las 15:38 |
|
06/07/2007, 17:34
| ||||
| ||||
| Hola, Para complementar la respuesta de WebTech, si activas esa opción, entonces se afectarán todos los scripts CGI y los de PHP que usen la función mail() para enviar correo electrónico. Una gran cantidad de aplicaciones tipo foros, galerías, administradores de contenido, etc, generalmente usan la función mail() por defecto para enviar correos y otras notificaciones. Saludos,
__________________ Planes VPS en el mundo > DirectorioVPS Visita los foros de hosting de ComunidadHosting |
|
06/07/2007, 22:58
| ||||
| ||||
| No hay problema.
__________________ Planes VPS en el mundo > DirectorioVPS Visita los foros de hosting de ComunidadHosting |
|
14/12/2008, 11:33
| |||
| |||
| Respuesta: como se detecta un SPAMMER (WHM) saludos, quisiera retomar el tema, tengo un problema similar, en un dedicado veo q por algun hack se alojo un script d envio masivo d mails, como saber donde esta alojado este? veo el archivo en exim_maillog pero no encuentro como me puede ayudar este, espero alguna sugerencia, gracias |
|
16/12/2008, 13:06
| ||||
| ||||
| Respuesta: como se detecta un SPAMMER (WHM) ¿Qué ves exactamente en el exim_mainlog? Podrías pegar aquí la salida. Saludos,
__________________ Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux |
Este tema le ha gustado a 1 personas (incluyéndote) 
Re: como se detecta un SPAMMER (WHM) 