Identificar SPAMMER
Marco Bravo
marcos.bravo en gmail.com
Mie Jul 27 15:50:03 CLT 2011
Me acorde de la frase: "Todos son Generales despues de la Guerra"
:-)
Mis saludos
El 27-07-2011, a las 15:38, Carlos Tirado Elgueta <carlos.tirado en gmail.com> escribió:
> Creo que para identificar a las maquinas que enviaban correos como zombies
> hubiese bastado con una herramienta tipo wireshark :)
>
> Atte.
>
>
>
> 2011/7/27 Rodrigo Gutiérrez Torres <rodrigogutierreztorres en gmail.com>
>
>> Estimados amigos :)
>>
>> Una de las cosas más interesantes de los hilos de conversación, son los
>> resultados a los que llegó el del problema.
>> En definitiva, encontramos un poco de todo.
>> Del total de correo extra que estábamos enviando, un 80% se resolvió al
>> encontrar máquinas con spyware que limpiamos. Desgraciadamente no
>> encontré una forma de identificar a estos individuos de una manera
>> simple, por lo que tuvimos que pasar por todos los computadores
>> revisando.
>> El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos
>> que recurrir a los amigos de IT-Linux (que son "maestros" en Zimbra)
>> para que nos enseñaran a revisar los logs, porque aunque dedicamos
>> muchas horas en el análisis, no dimos con la forma.
>> Básicamente, usamos el comando "grep" sobre los archivos zimbra.log.*
>> buscando las entradas de autentificación (sasl_username) y descartando
>> de la salida las conexiones desde IP en Chile, preguntando por IP
>> encontrada con el comando "whois".
>> Al final era una cuenta de bodega que un tipo en Marruecos usaba.
>> Salu2, y espero que esto sirva para la bitácora.
>>
>>
>> El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió:
>>> solo debes de revisar los logs de tu mailserver.
>>>
>>> Es muy tipico que te logren intervenir las cuentas de usuarios donde la
>>> contraseña sea debil, ejemplo
>>>
>>> user: pepito en dominio.cl
>>> pass: pepito
>>>
>>> Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma
>>> remota como a traves del webmail para enviar spam.
>>>
>>> Intenta revisar que volumen de mail han enviados tus usuarios, cuando
>>> detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus
>>> preferencia (webmail zimbra)
>>>
>>> lo mas probable, es que aparecezca con otro nombre y ademas con una
>> cuenta
>>> para el reenvio de los mail :)
>>>
>>> Saludos y suerte!
>>>
>>> El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres <
>>> rodrigogutierreztorres en gmail.com> escribió:
>>>
>>>> Señores:
>>>>
>>>> Me he encontrado que hay correos que no son de mi dominio y que sí
>> salen
>>>> por mi servidor de correos.
>>>> Me di cuenta al revisar los logs y estadísticas que indican que mandé
>>>> gran cantidad de correo a una hora donde se supone no había gente.
>>>> La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6.
>>>> La red no es grande, algo así como 100 máquinas, pero no he podido
>>>> encontrar el origen del correo. Revisé el maillog y zimbra.log, y
>> aunque
>>>> veo el tráfico, no veo la ip o el nombre de la máquina que lo originó.
>>>> No creo que sea problema de relay, porque está acotado a la máquina
>>>> local y se necesita autenticarse para mandar correo.
>>>> Agradeceré si me orientan en como pillar a este individuo.
>>>>
>>>> Salu2,
>>>>
>>>>
>>>
>>>
>>
>>
>
>
> --
> Carlos Francisco Tirado Elgueta
> Google AdWords Professional (GAP)
> http://www.ChileMedios.com <http://www.chilemedios.com/>
> Red Hat Certified Engineer (RHCE) 805010694850055.
> http://www.LinuxSupport.cl <http://www.linuxsupport.cl/>
Más información sobre la lista de distribución Linux