OVH Community, your new community space.

Envío de SPAM desde mi servidor


JaviM
29/01/2014, 12:37
Cita Publicado inicialmente por tfwfactory
Cuentanos que tipo de webs tienes en tu servidor para ver si son CMS , etc y revisa los logs del sistema de mail para ver cuando se han enviado , también puedes desactivar la función de sendmail de php hasta verificar el problema

Saludos
Pues son webs normales en PHP o estáticas. Lo malo es que hay bastante wordpress y algunos joomla's. Voy a probar lo del wrapper, que es una buena idea. En cuanto tenga novedades, las pongo aquí, por si a alguien mas le es útil.

Muchas gracias por vuestra ayuda.

tfwfactory
29/01/2014, 11:01
Cuentanos que tipo de webs tienes en tu servidor para ver si son CMS , etc y revisa los logs del sistema de mail para ver cuando se han enviado , también puedes desactivar la función de sendmail de php hasta verificar el problema

Saludos

jm.trillo
29/01/2014, 07:54
Seguramente no es un virus en si, simplemente uno de tus sitios web tiene algun formulario mal hecho que permite a algun bot mandar todos los correos que quiera.

Mirando los logs de acceso a las webs quizas podrias ver cual esta recibiendo todas esas peticiones para enviar el mail, segun tu configuración de apache puede ser mas facil o dificil. Yo una vez lo que hice fue hacer un "wrapper" a sendmail que loggueara el archivo que estaba invocandolo antes de enviar el correo. En mi caso fue en un Plesk, pero aquí hay unas instrucciones mas genéricas, aunque no las he probado:

http://rackerbox.com/wiki/index.php/...ndmail_wrapper

JaviM
28/01/2014, 23:05
Estimados amigos. Es mi primer mensaje en estos foros y lo hago porque estoy desesperado. Mi problema es que hay algún script en mi servidor enviando spam continuamente y deja estos "rastros" en el log:

Jan 28 22:12:17 mail postfix/sendmail[18955]: fatal: User www-data(33) is not allowed to submit mail
Jan 28 22:12:17 mail postfix/sendmail[18956]: fatal: User www-data(33) is not allowed to submit mail
Jan 28 22:12:17 mail postfix/sendmail[18957]: fatal: User www-data(33) is not allowed to submit mail
Jan 28 22:12:17 mail postfix/sendmail[18958]: fatal: User www-data(33) is not allowed to submit mail

Aparece así porque he desactivado el usuario www-data (ID 33) para enviar correo, por nuestras queridas políticas anti-spam de OVH, que si tu servidor estornuda te lo banean. El problema es que haciendo esto deniego el envío de correo a mis usuarios web legítimos, perdiendo correos de contacto y reservas.

El caso es que he pasado rkhunter, chkrootdisk, clamav y malware detect al directorio donde se encuentran las webs alojadas (arrojando algunos scripts maliciosos que he borrado sin resultado), he comprobado puertos abiertos con nmal, procesos cron, ficheros en /tmp... sin encontrar nada extraño. Y los ficheros del sistema en /usr/sbin, /sbin y demás no parecen cambiados.

Lo que tengo claro es que lo origina algún proceso local que ejecuta sendmail, pero no sé cómo puedo encontrar ese proceso en cuestión y la ruta donde se encuentra.

Mi caso es idéntico a este que he encontrado: http://serverfault.com/questions/565...log-ip-address

¿Alguien tiene alguna idea de lo que puedo hacer?