(Resuelto) - Spam en correo

Question

Hola,

supuestamente alguna cuenta de correo ha sido vulnerada y tengo un montón de mensajes en la cola de correo que voy eliminando constantemente. El caso es que tanto las cuentas de los remitentes como de los destinatarios poseen el mismo dominio. He procedido ha incluir dicho dominio en la lista negra que proporciona plesk pero aún así me siguen llegando dichos mensajes. ¿Cómo puedo bloquear dicho dominio y evitar que me colapsen la cola de correo?.

 

Gracias.

Answer 1

Con la información que nos facilitas parece ser que el Spam es saliente desde tu servidor, para ser más exactos el Spam lo realiza el usuario con eid 33, que normalmente es el usuario apache o www-data, es decir, se realiza el Spam desde alguna web en particular.

También podemos comprobar que el archivo que está realizando el Spam es "folder_local_data.php". Deberáis revisar en tu servidor qué dominio tiene dicho ardchivo con el comando locate, "locate folder_local_data.php" y eliminarlo, ya que está realizando Spam.

Posteriormente deberíais revisar como han logrado subir dicho archivo.

Comments

Me pongo a revisar todo lo que comentas y comentaré como ha ido.

Muchas gracias y un saludo.

---

Ya he podido eliminar dicho archivo. ¿Es posible que el motivo por el cual hayan podido subir dicho archivo es porque hayan vulnerado la cuenta FTP?.

---

Es lo más probable. Siempre puedes revisar ( en el caso de disponer de Plesk ) los logs de FTP ubicados dentro del dominio en statistics/logs/xferlog .

---

He revisado los logs y si que aparecen conexiones vía FTP en los días en los que supuestamente entraron e instalaron unos cuantos archivos, que me imagino que serían los que les permitían hacer todos los envíos de correo desde mi servidor.
He hecho limpieza de todos los archivos sospechosos, he cambiado contraseñas, he asegurado permisos... y en principio ya no llegan correos a la cola.

Muchísimas gracias por la ayuda.

---

Buenos dias,
Estoy teniendo el mismo problema con la cola de correo en mi vps estandar.

¿Donde puedo mirar los de los logs y que debo buscar?

Estes es uno de los muchísimos correos de la cola...
X-No-Relay: not in my network
Received: from User (unknown [82.152.142.195])
    by borjaonfire.com (Postfix) with ESMTPA id CD7453429126;
    Thu, 24 Apr 2014 02:15:45 +0200 (CEST)
From: "Apple"<noreply@icloud.com>
Subject: Your Apple ID was used to sign in to FaceTime, iCloud, and iMessage on an iPad
Date: Thu, 24 Apr 2014 01:15:52 +0100
MIME-Version: 1.0
Content-Type: text/html;
    charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Gracias de antemano!
Saludos

Answer 2

Hola jolual,

Primero se debería revisar si el Spam en cuestión es entrante o es saliente. En el caso de que sea saliente, se debería identificar la cuenta desde la que se está realizando Spam, ya que es posible que estén realizando un forge del propio From para camuflar la cuenta desde la que se están realizando los envíos.

Desde los logs de correo se debería poder identificar la cuenta si desde los mensajes encolados no hay suficiente información.

En cualquier caso, si nos añades información adicional como las cabeceras de alguno de los correos encolados, intentaremos ayudarte al respecto.

Comments

Hola adau,
esta es la cabecera de uno de tantos emails que hay en la cola de correo:
Received: from pymenube.siliconpeople.net (localhost [127.0.0.1])
    by pymenube.siliconpeople.net (Postfix) with ESMTP id EB2853DE3
    for <eizo-monitor@yandex.ru>; Mon, 14 Apr 2014 17:34:54 +0200 (CEST)
Received: by pymenube.siliconpeople.net (Postfix, from userid 33)
    id DF4D5235F; Mon, 14 Apr 2014 17:34:54 +0200 (CEST)
To: eizo-monitor@yandex.ru
Subject: =?windows-1251?B?UmU6IMTu4fD76SDi5ffl8CwgIN8g4vG4IPJh?=
    =?windows-1251?B?6ugg4vvo4/Bh6yBdOikgLSA3NjE2OTQy?=
X-PHP-Originating-Script: 33:folder_local_data.php
Message-ID: <6BA9D79BD58E4D3281AC38C16168BC88@rwztbow.ru>
From: =?windows-1251?B?wO3k8OXl4uAg1fDo8fL/IA==?= <cexhjfc@yandex.ru>
Date: Mon, 14 Apr 2014 18:34:48 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0EF0_01CF5810.376F0F20"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6109

Muchas gracias de antemano.