problema LOCALRELAY Alert
Carlos Tirado
carlos.tirado en gmail.com
Mie Mar 1 16:31:02 CLST 2017
Administro servidores con cPanel y WHM.
Generalmente este tipo de alertas se puede disparar por algun script que
alguien subio (o te inyectaron) en algun directorio web.
Te recomiendo que revises bien los logs de exim y ademas limites el limite
maximo de envios por hora de los usuarios, con el fin de "limitar" un poco
esta sobredemanda.
Saludos!
El 1 de marzo de 2017, 1:26, Etienne Melián A. <etienne en codis.cl> escribió:
> hola a todos listeros Linux,
>
> quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo:
> "lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario".
>
> resulta que desde hoy durante el día me empezaron a llegar esos emails.
> que tienen como contenido algo así, como pego despues de los "- - - - -".
>
> hasta ahora, me han llegado más de 4.000 emails
>
> intenté cambiando la clave del cpanel.
>
> a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los
> emails que llegan, hacen referencia a un dominio (usuario) en particular.
> los otros no se han visto afectados.
>
> corrí el clamav y detecto algunos troyanos. ejecuté limpiar todo, pero
> sigue el problema.
>
> porfa, si me pueden indicar que podría hacer para evitar esta situación
> antes que me genere mayores problemas con el dominio en cuestión.
>
> muchas gracias de antemano.
>
> este es el contenido que me llega en el email.
>
> - - - -
>
> Time: Wed Mar 1 01:14:04 2017 -0300
> Type: LOCALRELAY, Local Account - usuario
> Count: 101 emails relayed
> Blocked: No
>
> Sample of the first 10 emails:
>
> 2017-03-01 01:13:54 1civeE-0001nG-0d <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2433 T="You received a private message from NatWest"
> forjohn.cuthbertson en laidlaw.net
> 2017-03-01 01:13:54 1civeE-0001nW-3j <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2433 T="You received a private message from NatWest"
> forjohn.cutler en cutlermarine.com
> 2017-03-01 01:13:54 1civeE-0001nn-7C <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2447 T="You received a private message from NatWest"
> forjohn.cutler en hammond-logistics.co.uk
> 2017-03-01 01:13:54 1civeE-0001o1-CG <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2441 T="You received a private message from NatWest"
> forjohn.czarnota en serversource.co.uk
> 2017-03-01 01:13:54 1civeE-0001o7-Ep <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2429 T="You received a private message from NatWest"
> forjohn.d.greenwood en jgb.co.uk
> 2017-03-01 01:13:54 1civeE-0001oK-Hg <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2425 T="You received a private message from NatWest"
> forjohn.dahms en propmanco.com
> 2017-03-01 01:13:54 1civeE-0001oV-LG <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2423 T="You received a private message from NatWest"
> forjohn.dailey en vosa.gov.uk
> 2017-03-01 01:13:54 1civeE-0001oh-Nx <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2421 T="You received a private message from NatWest"
> forjohn.daley en marshmc.com
> 2017-03-01 01:13:54 1civeE-0001oq-Qe <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2421 T="You received a private message from NatWest"
> forjohn.dallat en virgin.net
> 2017-03-01 01:13:54 1civeE-0001ow-Si <=usuario en serverxx.dominio.cl
> U=usuario P=local S=2435 T="You received a private message from NatWest"
> forjohn.dallimore en lcegroup.co.uk
>
> - - - - -
>
>
--
Carlos Tirado Elgueta
Google Cloud Partner
G Suite Specialist.
http://www.chilemedios.cl
Más información sobre la lista de distribución Linux