Identificar SPAMMER

Mie Jul 27 12:18:34 CLT 2011

2011/7/27 Rodrigo Gutiérrez Torres <rodrigogutierreztorres en gmail.com>:
> Estimados amigos :)
>
> Una de las cosas más interesantes de los hilos de conversación, son los
> resultados a los que llegó el del problema.
> En definitiva, encontramos un poco de todo.
> Del total de correo extra que estábamos enviando, un 80% se resolvió al
> encontrar máquinas con spyware que limpiamos. Desgraciadamente no
> encontré una forma de identificar a estos individuos de una manera
> simple, por lo que tuvimos que pasar por todos los computadores
> revisando.
> El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos
> que recurrir a los amigos de IT-Linux (que son "maestros" en Zimbra)
> para que nos enseñaran a revisar los logs, porque aunque dedicamos
> muchas horas en el análisis, no dimos con la forma.
> Básicamente, usamos el comando "grep" sobre los archivos zimbra.log.*
> buscando las entradas de autentificación (sasl_username) y descartando
> de la salida las conexiones desde IP en Chile, preguntando por IP
> encontrada con el comando "whois".
> Al final era una cuenta de bodega que un tipo en Marruecos usaba.
> Salu2, y espero que esto sirva para la bitácora.
>
>
> El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió:
>> solo debes de revisar los logs de tu mailserver.
>>
>> Es muy tipico que te logren intervenir las cuentas de usuarios donde la
>> contraseña sea debil, ejemplo
>>
>> user: pepito en dominio.cl
>> pass: pepito
>>
>> Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma
>> remota como a traves del webmail para enviar spam.
>>
>> Intenta revisar que volumen de mail han enviados tus usuarios, cuando
>> detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus
>> preferencia (webmail zimbra)
>>
>> lo mas probable, es que aparecezca con otro nombre y ademas con una cuenta
>> para el reenvio de los mail :)
>>
>> Saludos y suerte!
>>
>> El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres <
>> rodrigogutierreztorres en gmail.com> escribió:
>>
>> > Señores:
>> >
>> > Me he encontrado que hay correos que no son de mi dominio y que sí salen
>> > por mi servidor de correos.
>> > Me di cuenta al revisar los logs y estadísticas que indican que mandé
>> > gran cantidad de correo a una hora donde se supone no había gente.
>> > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6.
>> > La red no es grande, algo así como 100 máquinas, pero no he podido
>> > encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque
>> > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó.
>> > No creo que sea problema de relay, porque está acotado a la máquina
>> > local y se necesita autenticarse para mandar correo.
>> > Agradeceré si me orientan en como pillar a este individuo.
>> >
>> > Salu2,
>> >
>> >
>>
>>
>
>
--

A nosotros hace un par de meses nos paso algo similar, al final
llegamos a la determinación que Zimbra como soft en algunos casos
puede ser bueno y en otros no, en realidad es como todos, pero en
definitiva el problema fue que debido a un bug que tenia zimbra, una
persona de afuera logro de alguna forma acceder desde quizás alguna
cuenta de de correo de algún usuario y nos empezó a colgar spam como
loco, gracias a los análisis realizados encontramos el problema y
pudimos neutralizar el ataque.

Saludos Cordiales.
-- 
--------------------------------------------
Roberto Quiñones

Owner - Service Manager and System
ACShell.NET – Internet Services
roberto en acshell.net - www.acshell.net
San Martin #311 Santiago – CL (Chile)
+560981361713
--------------------------------------------