Identificar SPAMMER

[Victor Hernandez M.]

from:<>
Me huele a formulario web explotado, tienes alguno en tu sitio ??

Saludos.

----- Original Message ----- 
From: "Rodrigo Gutiérrez Torres" <rodrigogutierreztorres en gmail.com>
To: "Discusion de Linux en Castellano" <linux en listas.inf.utfsm.cl>
Sent: Tuesday, July 19, 2011 11:11 AM
Subject: Re: Identificar SPAMMER


> Resumí todas las respuestas que me llegaron en esta respuesta:
>
> Respecto a si hay máquinas zombi, está claro que encontré equipos con
> spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero
> para reconocerlos fue por descarte: "¿qué máquinas quedaron encendidas
> el fin de semana?".
> Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows.
> Las máquinas con IOs y Linux hasta ahora las estoy descartando.
> En las estadísticas que manda el servidor a la cuenta admin, no veo que
> alguno de los usuarios envíe más que antes, pero sí veo que hay gente
> enviando que no pertenece a mi dominio. Llama mi atención un
> "from:<>" (cuenta de envío en blanco) y un "verifibyvisa.fr".
> Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi
> atención que aparecen IPs asociadas a la cuenta de envío, pero no son
> cuentas mías ni las direcciones corresponden a mi segmento de red.
> Ese informe, me parece, se construye a partir del log del archivo
> maillog, por lo que no registra quién se identificó para enviar el
> correo, sino que toma lo registrado en "from" y "to" para construir esa
> estadística.
> Que alguien esté entrando por la interfaz web, para mi tiene sentido,
> porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y
> algo correos... pero el domingo no se envió nada.
> De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar
> bastante.
> Me queda por averiguar quién se identificó para enviar el correo...
> ¿habrá algún lugar donde quede registrado eso?.
>
>
> El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió:
>> Un zombie en tu red? Un equipo envirulado...
>>
>> SI tienes estadísticas de envío ve quién manda más que antes en promedio 
>> y
>> ahí ataca el problema. A la cuenta admin en dominio.xx llegan esas
>> estadísticas.
>>
>> 2011/7/18 Rodrigo Gutiérrez Torres <rodrigogutierreztorres en gmail.com>
>>
>> > Señores:
>> >
>> > Me he encontrado que hay correos que no son de mi dominio y que sí 
>> > salen
>> > por mi servidor de correos.
>> > Me di cuenta al revisar los logs y estadísticas que indican que mandé
>> > gran cantidad de correo a una hora donde se supone no había gente.
>> > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6.
>> > La red no es grande, algo así como 100 máquinas, pero no he podido
>> > encontrar el origen del correo. Revisé el maillog y zimbra.log, y 
>> > aunque
>> > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó.
>> > No creo que sea problema de relay, porque está acotado a la máquina
>> > local y se necesita autenticarse para mandar correo.
>> > Agradeceré si me orientan en como pillar a este individuo.
>> >
>> > Salu2,
>> >
>> >
>>
>>
>