Identificar SPAMMER

[Jorge Palma]

correle a tus logs AWSTAT, el te mostrará las luz...

2011/7/19 Rodrigo Gutiérrez Torres <rodrigogutierreztorres en gmail.com>

> Resumí todas las respuestas que me llegaron en esta respuesta:
>
> Respecto a si hay máquinas zombi, está claro que encontré equipos con
> spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero
> para reconocerlos fue por descarte: "¿qué máquinas quedaron encendidas
> el fin de semana?".
> Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows.
> Las máquinas con IOs y Linux hasta ahora las estoy descartando.
> En las estadísticas que manda el servidor a la cuenta admin, no veo que
> alguno de los usuarios envíe más que antes, pero sí veo que hay gente
> enviando que no pertenece a mi dominio. Llama mi atención un
> "from:<>" (cuenta de envío en blanco) y un "verifibyvisa.fr".
> Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi
> atención que aparecen IPs asociadas a la cuenta de envío, pero no son
> cuentas mías ni las direcciones corresponden a mi segmento de red.
> Ese informe, me parece, se construye a partir del log del archivo
> maillog, por lo que no registra quién se identificó para enviar el
> correo, sino que toma lo registrado en "from" y "to" para construir esa
> estadística.
> Que alguien esté entrando por la interfaz web, para mi tiene sentido,
> porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y
> algo correos... pero el domingo no se envió nada.
> De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar
> bastante.
> Me queda por averiguar quién se identificó para enviar el correo...
> ¿habrá algún lugar donde quede registrado eso?.
>
>
> El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió:
> > Un zombie en tu red? Un equipo envirulado...
> >
> > SI tienes estadísticas de envío ve quién manda más que antes en promedio
> y
> > ahí ataca el problema. A la cuenta admin en dominio.xx llegan esas
> > estadísticas.
> >
> > 2011/7/18 Rodrigo Gutiérrez Torres <rodrigogutierreztorres en gmail.com>
> >
> > > Señores:
> > >
> > > Me he encontrado que hay correos que no son de mi dominio y que sí
> salen
> > > por mi servidor de correos.
> > > Me di cuenta al revisar los logs y estadísticas que indican que mandé
> > > gran cantidad de correo a una hora donde se supone no había gente.
> > > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6.
> > > La red no es grande, algo así como 100 máquinas, pero no he podido
> > > encontrar el origen del correo. Revisé el maillog y zimbra.log, y
> aunque
> > > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó.
> > > No creo que sea problema de relay, porque está acotado a la máquina
> > > local y se necesita autenticarse para mandar correo.
> > > Agradeceré si me orientan en como pillar a este individuo.
> > >
> > > Salu2,
> > >
> > >
> >
> >
>
>


-- 
Jorge Palma Escobar