Foros del Web » Administración de Sistemas » Cloud Computing »

SPAM redirigido Qmail.

Estas en el tema de SPAM redirigido Qmail. en el foro de Cloud Computing en Foros del Web. Hola a todos. Tengo un servidor dedicado con CentOS 5, Plesk 8.4 y QMail. Desde hace algún tiempo que el servidor está siendo utilizado para ...
  #1 (permalink)  
Antiguo 04/09/2009, 03:45
 
Fecha de Ingreso: julio-2004
Mensajes: 43
Antigüedad: 20 años, 4 meses
Puntos: 0
Exclamación SPAM redirigido Qmail.

Hola a todos.

Tengo un servidor dedicado con CentOS 5, Plesk 8.4 y QMail.
Desde hace algún tiempo que el servidor está siendo utilizado para reenviar SPAM, desde dominios externos para dominios externos.
He comprobado que aparentemente la configuración de QMail es correcta, lo he intentado todo desde el Plesk y no hay manera de solucionar el problema.
En principio parece ser que se conectan mediante Telnet para enviar SPAM. Viendo las cabeceras de los correos se puede ver que los emails no provienen de ningún dominio del servidor, no creo que haya scripts maliciosos.

Mi proveedor no se hace cargo, ya que este servidor no tiene asistencia.

Espero que me podáis ayudar.
Gracias.
  #2 (permalink)  
Antiguo 11/09/2009, 09:51
Avatar de PeruClic  
Fecha de Ingreso: junio-2007
Ubicación: Arequipa, Peru
Mensajes: 533
Antigüedad: 17 años, 4 meses
Puntos: 7
Respuesta: SPAM redirigido Qmail.

Lo que dices es porque alguien subio scripts a alguna de tus webs, y por eso al enviar tu server los reconoce como nobody o con el nombre de tu server, tienes que buscar maneras de encontrar dichos scrpts, encontre algo de informacion que puede servirte, no es mi experiencia pero es lo que encontre en internet espero te ayude.

Cuando el script del spammer es un script realizado en php, el problema que tenemos para localizarlo es que el usuario será apache (a no ser que el servidor use su_exec o similares) y será más dificultoso encontrarlo ya que no puede ser identificado con el nombre de usuario del dominio.

Si se usa Plesk hay dos procedimientos estándares creando wrappers de Sendmail y que suelen funcionar. El propio Plesk lo describe en estos dos artículos:

http://kb.parallels.com/article_22_1711_en.html

http://kb.parallels.com/en/766

Podemos dejar el wrapper funcionando durante algún día para intentar localizar al spammer. Adicionalmente podemos dejar un cron que dispare un fichero con greps del tipo:

grep X-Additional /var/tmp/mail.send | grep `cat /etc/psa/psa.conf | grep HTTPD_VHOSTS_D | sed -e ’s/HTTPD_VHOSTS_D//’ ` | awk ‘{print $2}’ | awk ‘BEGIN {FS=”|”} {print $1}’ | sort|uniq -c | sort -rn

y que nos envié por email los resultados del wrapper.

Una vez conocido el directorio o fichero desde donde se envía el spam, tendremos que comprobar en los logs como se ha logrado el acceso para subir el citado fichero. Normalmente suele haber aplicaciones php muy antiguas que no han sido actualizadas a versiones nuevas. Tendremos que advertir al propietario del sitio que actualice sus aplicaciones, cambie sus claves, revise todos los ficheros e incluso suba un backup anterior. Habrá que eliminar los ficheros maliciosos y colocar restricciones más fuertes al dominio creando un fichero .htaccess o en el propio /conf/vhosts.conf del dominio.

Tales restricciones podrían ser:

php_flag register_globals off

php_flag allow_url_fopen off

php_flag file_uploads off

php_flag magic_quotes_gpc on

php_flag safe_mode on

php_flag disable_functions show_source

php_flag disable_functions system

php_flag disable_functions shell_exec

php_flag disable_functions passthru

php_flag disable_functions exec

php_flag disable_functions phpinfo

php_flag disable_functions popen

php_flag disable_functions proc_open

Adicionalmente habría que revisar los directorios temporales /tmp para comprobar que no hay scripts con usuario apache que estén enviando spam.

Igualmente siempre es utilizar las reglas actualizadas de mod_security para prevenir ataques comunes vía web (el 95% de los ataques son vía web) y herramientas de deteción de intrusos como OSSEC, y Atomic Secure Linux

Sería recomendable añadir a iptables las ips de las maquinas que realizaron el ataque, aunque el atacante atacará desde otras ips sin complicaciones. Incluso puede ser interesante bloquear rangos de ips de forma momentanea si hay un ataque en progreso.
  #3 (permalink)  
Antiguo 12/09/2009, 23:59
Avatar de MaBoRaK  
Fecha de Ingreso: abril-2003
Ubicación: La Paz - Bolivia
Mensajes: 2.003
Antigüedad: 21 años, 6 meses
Puntos: 35
Respuesta: SPAM redirigido Qmail.

loading..........


Mas que eso si alguien se conecta a tu SMTP es porque tu servidor permite envios de cualquier persona, deberias ver un poco la configuration de los RELAYERS o algo asi... por ejemplo Exim solo se permite envios desde localhost y conexiones autenticadas en su configuración por defecto. abra que ver como está tu configuración qmail.


connection closed.
__________________

Maborak Technologies
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:58.