Identificar SPAMMER
Carlos Tirado Elgueta
carlos.tirado en gmail.com
Mie Jul 27 15:38:37 CLT 2011
Creo que para identificar a las maquinas que enviaban correos como zombies
hubiese bastado con una herramienta tipo wireshark :)
Atte.
2011/7/27 Rodrigo Gutiérrez Torres <rodrigogutierreztorres en gmail.com>
> Estimados amigos :)
>
> Una de las cosas más interesantes de los hilos de conversación, son los
> resultados a los que llegó el del problema.
> En definitiva, encontramos un poco de todo.
> Del total de correo extra que estábamos enviando, un 80% se resolvió al
> encontrar máquinas con spyware que limpiamos. Desgraciadamente no
> encontré una forma de identificar a estos individuos de una manera
> simple, por lo que tuvimos que pasar por todos los computadores
> revisando.
> El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos
> que recurrir a los amigos de IT-Linux (que son "maestros" en Zimbra)
> para que nos enseñaran a revisar los logs, porque aunque dedicamos
> muchas horas en el análisis, no dimos con la forma.
> Básicamente, usamos el comando "grep" sobre los archivos zimbra.log.*
> buscando las entradas de autentificación (sasl_username) y descartando
> de la salida las conexiones desde IP en Chile, preguntando por IP
> encontrada con el comando "whois".
> Al final era una cuenta de bodega que un tipo en Marruecos usaba.
> Salu2, y espero que esto sirva para la bitácora.
>
>
> El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió:
> > solo debes de revisar los logs de tu mailserver.
> >
> > Es muy tipico que te logren intervenir las cuentas de usuarios donde la
> > contraseña sea debil, ejemplo
> >
> > user: pepito en dominio.cl
> > pass: pepito
> >
> > Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma
> > remota como a traves del webmail para enviar spam.
> >
> > Intenta revisar que volumen de mail han enviados tus usuarios, cuando
> > detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus
> > preferencia (webmail zimbra)
> >
> > lo mas probable, es que aparecezca con otro nombre y ademas con una
> cuenta
> > para el reenvio de los mail :)
> >
> > Saludos y suerte!
> >
> > El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres <
> > rodrigogutierreztorres en gmail.com> escribió:
> >
> > > Señores:
> > >
> > > Me he encontrado que hay correos que no son de mi dominio y que sí
> salen
> > > por mi servidor de correos.
> > > Me di cuenta al revisar los logs y estadísticas que indican que mandé
> > > gran cantidad de correo a una hora donde se supone no había gente.
> > > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6.
> > > La red no es grande, algo así como 100 máquinas, pero no he podido
> > > encontrar el origen del correo. Revisé el maillog y zimbra.log, y
> aunque
> > > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó.
> > > No creo que sea problema de relay, porque está acotado a la máquina
> > > local y se necesita autenticarse para mandar correo.
> > > Agradeceré si me orientan en como pillar a este individuo.
> > >
> > > Salu2,
> > >
> > >
> >
> >
>
>
--
Carlos Francisco Tirado Elgueta
Google AdWords Professional (GAP)
http://www.ChileMedios.com <http://www.chilemedios.com/>
Red Hat Certified Engineer (RHCE) 805010694850055.
http://www.LinuxSupport.cl <http://www.linuxsupport.cl/>
Más información sobre la lista de distribución Linux