OVH Community, your new community space.

Descubrir spammer en qmail


redesb
02/03/2009, 14:45
Hola,

Mis disculpas por ser tan parco, te cuento lo que yo hago a ver si te sirve.
Cita Publicado inicialmente por Debian Utrera
redesb, los logs que provienen del '/var/log/maillog', son logs del tipo:
1. qmail ha recibido un mensaje en cola
2. te dice quien es el emisor
3. destinatario
4. mensajes en cola
5. entregas
.....
Te da un log, del estado del qmail con respecto a un mail.

Pero de esta forma es imposible conseguir saber donde esta el spammer, ya que no te diferencia mails mandados desde php, perl, cgi, webmail, outlook (o parecido), es por ello por lo que necesito hacer un log en php (el cual volvere a probar)....
En 1er lugar como te comentaba, miro los logs de correo y veo si localizo los posibles msgs. de spam, normalmente se ve bastante rápido (por la cantidad), a continuación, cotejo la fecha/hora del correo con la fecha/hora que figura en los logs de apache, si como en tu caso sospechas que el spam proviene de scripts.

Normalmente, se encuentra bastante rápido, pues si como dices te han machacado con 20000 msgs., por fuerza debes tener los logs de apache a reventar de llamadas al script ofensor.

Aparte, siempre le hecho un ojo, también, a los dirs. 'tmp' (varios) para ver si han dejado un regalito en forma de script, aunque si tienes declarado los 'tmp' como 'nosuid,nodev,noexec', dificilmente encontrarás algo en ellos, aunque hay maneras de soslayar el inconveniente por parte de los spamers.

P.D. Desde la instalación de 'mod_security' los ataques han bajado a un 10% de los que tenia antes.

Espero te sirva,
Salu2

Debian Utrera
02/03/2009, 10:55
redesb, los logs que provienen del '/var/log/maillog', son logs del tipo:
1. qmail ha recibido un mensaje en cola
2. te dice quien es el emisor
3. destinatario
4. mensajes en cola
5. entregas
.....
Te da un log, del estado del qmail con respecto a un mail.

Pero de esta forma es imposible conseguir saber donde esta el spammer, ya que no te diferencia mails mandados desde php, perl, cgi, webmail, outlook (o parecido), es por ello por lo que necesito hacer un log en php (el cual volvere a probar).

Os doy una recomendacion a todos los que teneis servidores dedicados, y es que si no usais extensiones cgi, la desactiveis en vuestro servidor, porque es por ese sitio por donde suelen atacar los spammer.

Cualquier otra investigacion, os mantendré informado.

Como dato deciros, que el ultimo spammer nos envio unos 20.000 correos antes de descubrirlo, y fue por una extensino cgi, ello nos provoco caer en listas negras (podeis verificar vuestros servidores en: http://sendmail.com/sm/resources/tools/ip_reputation/)

Thyng
01/03/2009, 10:55
no es para sendmail, es el nombre del wrapper que utiliza el php para enviar el correo, haz lo que pone en ese documento de swsoft, al dedillo que te va a funcionar.

redesb
27/02/2009, 13:52
¿No te sirve el archivo de registro '/var/log/maillog'? En cuanto a lo del spammer, mal asunto, si listan la IP de tu servidor como spammer lo tienes claro. Para pillarlo, deberías mirar tanto en el archivo anterior como en el de registro de apache, si como dices, están enviando spam con un script.

Por otra parte, personalmente, instalaría 'mod-security' en apache para evitar estos inconvenientes.

Espero te sirva,
Salu2

Debian Utrera
27/02/2009, 10:30
Tengo problemas, con mi servidor (Debian con Plesk 8) y estoy sufriendo ataques de spam desde alguno de los dominios que tengo hospedado, pensamos que el spam esta ejecutando un script en php, pero el problema es que no se como descubrirlo, he estado leyendo documentacion en plesk, y te dicen como construir un log para email enviados desde php: http://kb.parallels.com/article_22_1711_en.html
El problema la documentacion viene para el servidor sendmail, y como sabeis la mayoria ya tenemos qmail.

Por favor, si alguien sabe algo que me eche una mano.