26 Mar

Localizar envío masivo realizado por un uid cualquiera

Vamos a explicar el modo de operar cuando en la cabecera del correo vemos  que el uid corresponde a un usuario cualquiera así mismo el envío masivo puede ser provocado también por un script en apache o bien por envios en smtp.

Cuando pinchamos sobre el e-mail de la cola de correo observamos lo siguiente:

Como podemos observar el identificador de usuario (uid) al que se hace referencia es el 110. En éste caso para saber a que usuario correspone ese uid siga los siguientes pasos:

Paso 1. Acceda al términal de su servidor como root.

Paso 2. Para saber a que usuario y dominio corresponde el (uid) que ha visto en la cabecera del correo, sustituya “uid” por el localizado en el siguiente comando:

grep 'uid' /etc/passwd

De ésta forma  el nombre del usuario y el dominio. Detener el alojamiento para evitar más spam.

Compartir
26 Mar

Envío masivo por smtp

Una forma común de envío masivo de correos que que se realice por smtp,  éste problema podía darse en el caso de que los envíos fueran realizados a través de un script php o bien a través de un usuario.

Lo primero es detectar en la cabecera del mensaje que efectivamente se trata de envíos por smtp, la comprobación la realizamos de la siguiente manera:

Paso 1.  Acceder al servidor como root al servidor  y comprobar la dirección ip que está realizando el envio. Ésta irección ip es la que aparece en la seguna línea de la captura anterior. Receveid: (209.85.214.50). esta ip es solo como ejemplo en cada correo que compruebe puede ser diferente.

 tail-f / usr / local / psa / var / log / maillog | grep '<dirección_IP>

donde la dirección ip corresponde al usuario que está realizando es spam.

Paso 2. Aplicamos una nueva regla en el firewall para bloquear la ip del usuario que está enviando el spam, lo que hacemos con ésta regla es indicarle al servidor que el trafico que contenga la ip que pongamos serán paquetes que rechazará por tanto conseguimos el bloqueo de dicha ip :

iptables -A INPUT -s <dirección ip> -j DROP
Recomendaciones:
 – La incidencia puede venir provocada por la presencia de virus o malware en el equipo donde en el mismo está configurada la cuenta de correo en una aplicación cliente (Outlook, Thunderbird…).
– Es muy importante tener vigilada la cola de correo para evitar que se envía spam desde el servidor ya que la ip puede puede ser insertada en una lista negra
– Utilizar contraseñas robustas, es decir, usando letras números, mayúsculas, minúsculas y símbolos.
Compartir

Copyright © ELB Web Hosting SL