Identificar SPAMMER

Rodrigo Gutiérrez Torres rodrigogutierreztorres en gmail.com
Mie Jul 27 11:07:44 CLT 2011 

Estimados amigos :)

Una de las cosas más interesantes de los hilos de conversación, son los
resultados a los que llegó el del problema.
En definitiva, encontramos un poco de todo. 
Del total de correo extra que estábamos enviando, un 80% se resolvió al
encontrar máquinas con spyware que limpiamos. Desgraciadamente no
encontré una forma de identificar a estos individuos de una manera
simple, por lo que tuvimos que pasar por todos los computadores
revisando.
El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos
que recurrir a los amigos de IT-Linux (que son "maestros" en Zimbra)
para que nos enseñaran a revisar los logs, porque aunque dedicamos
muchas horas en el análisis, no dimos con la forma. 
Básicamente, usamos el comando "grep" sobre los archivos zimbra.log.*
buscando las entradas de autentificación (sasl_username) y descartando
de la salida las conexiones desde IP en Chile, preguntando por IP
encontrada con el comando "whois".
Al final era una cuenta de bodega que un tipo en Marruecos usaba.
Salu2, y espero que esto sirva para la bitácora.


El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió:
> solo debes de revisar los logs de tu mailserver.
> 
> Es muy tipico que te logren intervenir las cuentas de usuarios donde la
> contraseña sea debil, ejemplo
> 
> user: pepito en dominio.cl
> pass: pepito
> 
> Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma
> remota como a traves del webmail para enviar spam.
> 
> Intenta revisar que volumen de mail han enviados tus usuarios, cuando
> detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus
> preferencia (webmail zimbra)
> 
> lo mas probable, es que aparecezca con otro nombre y ademas con una cuenta
> para el reenvio de los mail :)
> 
> Saludos y suerte!
> 
> El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres <
> rodrigogutierreztorres en gmail.com> escribió:
> 
> > Señores:
> >
> > Me he encontrado que hay correos que no son de mi dominio y que sí salen
> > por mi servidor de correos.
> > Me di cuenta al revisar los logs y estadísticas que indican que mandé
> > gran cantidad de correo a una hora donde se supone no había gente.
> > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6.
> > La red no es grande, algo así como 100 máquinas, pero no he podido
> > encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque
> > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó.
> > No creo que sea problema de relay, porque está acotado a la máquina
> > local y se necesita autenticarse para mandar correo.
> > Agradeceré si me orientan en como pillar a este individuo.
> >
> > Salu2,
> >
> >
> 
>

Más información sobre la lista de distribución Linux