Identificar SPAMMER

Germán Póo-Caamaño gpoo en calcifer.org
Mar Jul 19 13:21:27 CLT 2011


On Tue, 2011-07-19 at 11:25 -0400, Victor Hernandez M. wrote:
> from:<>
> Me huele a formulario web explotado, tienes alguno en tu sitio ??

El remitente nulo se usa también para otros propósitos (por ejemplo,
notificar un correo no entregado).  Pueden ser simplemente consecuencia,
pero no necesariamente la causa.

> ----- Original Message ----- 
> From: "Rodrigo Gutiérrez Torres" <rodrigogutierreztorres en gmail.com>
> To: "Discusion de Linux en Castellano" <linux en listas.inf.utfsm.cl>
> Sent: Tuesday, July 19, 2011 11:11 AM
> Subject: Re: Identificar SPAMMER
> 
> 
> > Resumí todas las respuestas que me llegaron en esta respuesta:
> >
> > Respecto a si hay máquinas zombi, está claro que encontré equipos con
> > spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero
> > para reconocerlos fue por descarte: "¿qué máquinas quedaron encendidas
> > el fin de semana?".
> > Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows.
> > Las máquinas con IOs y Linux hasta ahora las estoy descartando.
> > En las estadísticas que manda el servidor a la cuenta admin, no veo que
> > alguno de los usuarios envíe más que antes, pero sí veo que hay gente
> > enviando que no pertenece a mi dominio. Llama mi atención un
> > "from:<>" (cuenta de envío en blanco) y un "verifibyvisa.fr".
> > Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi
> > atención que aparecen IPs asociadas a la cuenta de envío, pero no son
> > cuentas mías ni las direcciones corresponden a mi segmento de red.
> > Ese informe, me parece, se construye a partir del log del archivo
> > maillog, por lo que no registra quién se identificó para enviar el
> > correo, sino que toma lo registrado en "from" y "to" para construir esa
> > estadística.
> > Que alguien esté entrando por la interfaz web, para mi tiene sentido,
> > porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y
> > algo correos... pero el domingo no se envió nada.
> > De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar
> > bastante.
> > Me queda por averiguar quién se identificó para enviar el correo...
> > ¿habrá algún lugar donde quede registrado eso?.
> >
> >
> > El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió:
> >> Un zombie en tu red? Un equipo envirulado...
> >>
> >> SI tienes estadísticas de envío ve quién manda más que antes en promedio 
> >> y
> >> ahí ataca el problema. A la cuenta admin en dominio.xx llegan esas
> >> estadísticas.
> >>
> >> 2011/7/18 Rodrigo Gutiérrez Torres <rodrigogutierreztorres en gmail.com>
> >>
> >> > Señores:
> >> >
> >> > Me he encontrado que hay correos que no son de mi dominio y que sí 
> >> > salen
> >> > por mi servidor de correos.
> >> > Me di cuenta al revisar los logs y estadísticas que indican que mandé
> >> > gran cantidad de correo a una hora donde se supone no había gente.
> >> > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6.
> >> > La red no es grande, algo así como 100 máquinas, pero no he podido
> >> > encontrar el origen del correo. Revisé el maillog y zimbra.log, y 
> >> > aunque
> >> > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó.
> >> > No creo que sea problema de relay, porque está acotado a la máquina
> >> > local y se necesita autenticarse para mandar correo.
> >> > Agradeceré si me orientan en como pillar a este individuo.

-- 
Germán Póo-Caamaño
http://calcifer.org/



Más información sobre la lista de distribución Linux