Foros del Web » Administración de Sistemas » Cloud Computing »

como se detecta un SPAMMER (WHM)

Estas en el tema de como se detecta un SPAMMER (WHM) en el foro de Cloud Computing en Foros del Web. Hola, unos usuarios dejaron unos directorios en 777 Algunos hackers subieron PISHING , luego borramos todo eso gracias a que nos escribieron del banco afectato ...
  #1 (permalink)  
Antiguo 20/04/2007, 15:37
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 18 años, 6 meses
Puntos: 1
como se detecta un SPAMMER (WHM)

Hola,

unos usuarios dejaron unos directorios en 777

Algunos hackers subieron PISHING, luego borramos todo eso gracias a que nos escribieron del banco afectato con URL del WEB afectado...

Pero ahora hemos detectado el envio de SPAM....

Como puedo saber el usuario que lo envia ?
Como saber en que directorio estan esos files ?

El proveedor se limito a decir:

"Eso es problema de ustedes"...

Gracias por la ayuda.

Que comando puedo correr en este INUX con WHM ?
  #2 (permalink)  
Antiguo 20/04/2007, 16:58
Avatar de Apolo
Colaborador
 
Fecha de Ingreso: abril-2003
Ubicación: ubicado
Mensajes: 7.961
Antigüedad: 21 años, 8 meses
Puntos: 109
Re: como se detecta un SPAMMER (WHM)

Cita:
Iniciado por MonicaH
El proveedor se limito a decir:

"Eso es problema de ustedes"...
Supongo que el servidor es no-manejado, ¿correcto? Es más, ¿estás en un servidor dedicado?

De todas maneras me parece una respuesta muy pobre. Si la IP de ese servidor queda en una lista negra (que es lo más probable que ocurrirá), el proveedor también se verá afectado... con lo entretenido que es hacer los trámites para retirar una IP de varias listas negras...

Lo más recomendable es que contrates los servicios de un profesional para casos como estos (y para que administre y asegure tu servidor apropiadamente y lo tenga actualizado) o que contrates un servidor completamente administrado para que se encarguen de todo esto por tí.

Puedes intentar revisar los registros del servidor de correo y allí quizás podrías tener una idea del origen.

Puedes buscar esos mismos directorios que tenían permisos 777 y quizás encuentres el script sospechoso, pero a lo mejor puede ser un formulario web vulnerado.

Puedes ir a este sitio y hacer tests de Mail Relay:

http://www.abuse.net/relay.html

En WHM >> Tweak Settings puedes marcar esta opción (aunque te podrá traer más problemas con otros usuarios/scripts):

Prevent the user 'nobody' from sending out mail to remote addresses (php and cgi scripts generally run as nobody if you are not using phpsuexec and suexec respectively.)

Y hay muchas otras cosas más para hacer y por dónde buscar...

Saludos,
__________________
Planes VPS en el mundo > DirectorioVPS
Visita los foros de hosting de ComunidadHosting
  #3 (permalink)  
Antiguo 20/04/2007, 22:14
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 2 meses
Puntos: 162
Re: como se detecta un SPAMMER (WHM)

Primero, si es un server no manejado, contrata a un SysAdmin que pueda ayudarte a resolver esto, o de lo contrario si quieres hacerlo tu misma, puedes seguir los consejos aquí brindados.

Adicionalmente a la buena medida que ha comentado Apolo ( que seguro te librará de este problema, pero te podrá causar otros ), menciono otras que te ayudarán a hacerte más fácil encontrar al spammer.

1 - Desde WHM como root, ve a Tweak Settings:

2 - Setea el valor de "50" para "The maximum each domain can send out per hour", lo cual limitará la salida de mails por hora en cada dominio.

3 - También desde WHM, en el menú izquierdo, ve a "Exim Configuration Editor ", y luego pincha en "Advanced Editor". En la primer caja de texto, pega lo siguiente al principio:

"log_selector = +arguments +subject" y guarda los cambios. Ahora tienes un logueo extendido de todo lo que pasa por Exim.

4 - También te sugiero recompilar apache con PHP-Suexec activado, aunque puede causarte ciertos conflictos con scripts de tus clientes.

5 - Mira siempre los logs desde el shell, siempre hay rastro de todo.. /var/log/exim_maillog

6 - Asegurate de que tus sitios posean siempre sus aplicaciones y scripts actualizados.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #4 (permalink)  
Antiguo 21/04/2007, 02:12
 
Fecha de Ingreso: febrero-2004
Mensajes: 1.987
Antigüedad: 20 años, 10 meses
Puntos: 22
Re: como se detecta un SPAMMER (WHM)

Hola MonicaH, no respondo a tu pregunta, pero esta muy relacionado:

Este URL:

http://www.members.iinet.net.au/~remmie/relay/

Y este es uno muy bueno:

http://www.siteadvisor.com/sites/

Última edición por Anarko; 21/04/2007 a las 02:25
  #5 (permalink)  
Antiguo 21/04/2007, 02:26
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 18 años, 6 meses
Puntos: 1
Re: como se detecta un SPAMMER (WHM)

Gracias,

hace meses trabajamos con SAFE_MODE=1

Me dicen que utilice PHP-suEXEC eso va es en APACHE ?

Tonces los del SERVER me deben recompilar el APACHE ?...

Aqui también tengo VIRTUOZZO... PEro no parece servir de mucho...

Algunas cosas no las he podido hacer desde ahi.

APOLO ya habia ido a esa página, al final solo me dice:

"Hmmn, at first glance, host appeared to accept a message for relay.
"

También he borrado los DIR 777.

Y los he cambiado a 001

Lo que se me hace extraño es que este server me envia un mail cada vez que se sube un file para correos al server.

SIEMPRE LOS MIRO, pero hasta ahora no me ha enviado ni uno solo de SPAM.

Sera que no lo estan haciendo con files en el server sino explotando lineas de comandos... ?
  #6 (permalink)  
Antiguo 21/04/2007, 12:30
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 2 meses
Puntos: 162
Re: como se detecta un SPAMMER (WHM)

Cita:
Iniciado por MonicaH Ver Mensaje
Gracias,

Me dicen que utilice PHP-suEXEC eso va es en APACHE ?

Tonces los del SERVER me deben recompilar el APACHE ?...

Aqui también tengo VIRTUOZZO... PEro no parece servir de mucho...

También he borrado los DIR 777.

Y los he cambiado a 001

Lo que se me hace extraño es que este server me envia un mail cada vez que se sube un file para correos al server.

SIEMPRE LOS MIRO, pero hasta ahora no me ha enviado ni uno solo de SPAM.

Sera que no lo estan haciendo con files en el server sino explotando lineas de comandos... ?
Con PHPSuEXEC activado, puedes indentificar más fácilmente a un usuario que esta abusando del sistema ya que corre los scripts ( incluidos los de enviar e-mail ) identificado por el user real del dominio, y no como el usuario de apache ( conocido como "nobody" en cPanel ).

Lo que comentas, que te envia un e-mail es totalmente normal, es solo una alerta de que han subido un script php, perl, cgi, etc que permite envio de e-mails y podría ser usado por spammers.

Seguramente, te estén explotando algún formulario de correo que use viejas versiones de formmail, o simplemente, un formulario vulnerable.

Saludos,

PD: mi mensaje número 1000
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #7 (permalink)  
Antiguo 21/04/2007, 13:19
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 18 años, 6 meses
Puntos: 1
Re: como se detecta un SPAMMER (WHM)

No solo es tu mensaje #1000 WebTech, sino que me fui de curiosa a mirar tu perfil y "Oh sorpresa"...

Este usuario solo ha ABIERTO, INICIADO, OPEN

1 solo ticket de 1000...

Que peculiar...

Ya que nadie lo hace, podrias contestarme:

http://www.forosdelweb.com/f58/como-saber-si-apache-corre-con-php-suexec-483534/
  #8 (permalink)  
Antiguo 21/04/2007, 14:16
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 2 meses
Puntos: 162
Re: como se detecta un SPAMMER (WHM)

Cita:
Iniciado por MonicaH Ver Mensaje
No solo es tu mensaje #1000 WebTech, sino que me fui de curiosa a mirar tu perfil y "Oh sorpresa"...

Este usuario solo ha ABIERTO, INICIADO, OPEN

1 solo ticket de 1000...

Que peculiar...
Así es, dedico mi tiempo en FDW a responder dudas y consultas de otros usuarios, que además también es una gran ayuda para aprender , incluso con cosas que aveces hasta desconozco su solución sin previa investigación.

Cita:
Ya que nadie lo hace, podrias contestarme:

http://www.forosdelweb.com/showthread.php?t=483534
Ya esta contestado, espero que te sirva.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux

Última edición por WebTech; 21/04/2007 a las 14:26
  #9 (permalink)  
Antiguo 06/07/2007, 13:59
 
Fecha de Ingreso: octubre-2003
Mensajes: 53
Antigüedad: 21 años, 1 mes
Puntos: 0
Pregunta Re: como se detecta un SPAMMER (WHM)

Estimados, perdón por retomar un tema de hace unos meses, pero cuando lo leí hay una cosa que no me quedó clara, la opción dentro del WHM:

Prevent the user "nobody" from sending out mail to remote addresses (PHP and CGI scripts generally run as nobody if you are not using PHPSuexec and Suexec respectively.)

  1. es recomendable que este activada ?
  2. En caso de que sea conveniente que quede activada, existe algun tipo de solución si por ejemplo bloquea el envío de mails de un script como el PHPlist ?
  3. tiene algun tipo de interaccion con PHPSuexec ? es conveniente que estén los dos activados ?
Desde ya muchas gracias por sus consejos.

Muchos saludos, Daniel
  #10 (permalink)  
Antiguo 06/07/2007, 15:31
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 2 meses
Puntos: 162
Re: como se detecta un SPAMMER (WHM)

Hola Daniel,

1.- No, a menos que tengas problemas SERIOS de SPAM saliente de tu servidor y sea una emergencia, no recomiendo activarlo.

2.- Al no ser conveniente, paso al otro punto

3.- phpsuexec no debería ocasionar ningún problema con esta opción, son cosas independientes.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux

Última edición por WebTech; 06/07/2007 a las 15:38
  #11 (permalink)  
Antiguo 06/07/2007, 17:34
Avatar de Apolo
Colaborador
 
Fecha de Ingreso: abril-2003
Ubicación: ubicado
Mensajes: 7.961
Antigüedad: 21 años, 8 meses
Puntos: 109
Hola,

Para complementar la respuesta de WebTech, si activas esa opción, entonces se afectarán todos los scripts CGI y los de PHP que usen la función mail() para enviar correo electrónico. Una gran cantidad de aplicaciones tipo foros, galerías, administradores de contenido, etc, generalmente usan la función mail() por defecto para enviar correos y otras notificaciones.

Saludos,
__________________
Planes VPS en el mundo > DirectorioVPS
Visita los foros de hosting de ComunidadHosting
  #12 (permalink)  
Antiguo 06/07/2007, 22:01
 
Fecha de Ingreso: octubre-2003
Mensajes: 53
Antigüedad: 21 años, 1 mes
Puntos: 0
De acuerdo Re: como se detecta un SPAMMER (WHM)

WebTech y Apolo, a los dos muchas gracias por sus respuestas.


Saludos, Daniel
  #13 (permalink)  
Antiguo 06/07/2007, 22:58
Avatar de Apolo
Colaborador
 
Fecha de Ingreso: abril-2003
Ubicación: ubicado
Mensajes: 7.961
Antigüedad: 21 años, 8 meses
Puntos: 109
No hay problema.

__________________
Planes VPS en el mundo > DirectorioVPS
Visita los foros de hosting de ComunidadHosting
  #14 (permalink)  
Antiguo 14/12/2008, 11:33
 
Fecha de Ingreso: diciembre-2008
Mensajes: 1
Antigüedad: 16 años
Puntos: 0
Respuesta: como se detecta un SPAMMER (WHM)

saludos, quisiera retomar el tema, tengo un problema similar, en un dedicado veo q por algun hack se alojo un script d envio masivo d mails, como saber donde esta alojado este? veo el archivo en exim_maillog pero no encuentro como me puede ayudar este, espero alguna sugerencia, gracias
  #15 (permalink)  
Antiguo 16/12/2008, 13:06
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 2 meses
Puntos: 162
Respuesta: como se detecta un SPAMMER (WHM)

¿Qué ves exactamente en el exim_mainlog?

Podrías pegar aquí la salida.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas (incluyéndote)




La zona horaria es GMT -6. Ahora son las 21:22.