Problemas de seguridad y spam

Hola recientente ente he detectado la cola de correo bastante llena con unos 2.000 y pico de mensajejes, los mismos volvian rebotados a todas las cuentas de mis clientes de las que supuestamente salieron esos correos, he mirado los mensajes en cola y realmente bienen de diferentes ip's interminables ya que no son las mismas, lo bueno es que el servidor smtp no los envia, como puedo parar a este tipo de spammer, si alguien me puede orientar un poco estare agradecido. he realizado un scan con el watchDog lo pego aqui por si sirve. Saludos y gracias.

Ver el archivo adjunto Rootkit.docx

 

usas algún panel para administrar tus clientes ?

 

Hola y gracias por responder, utilizo plesk version 9 y me conecto por ssh para editar segun que cosas. saludos.

 

Para mi tenes una cuenta que te esta haciendo correos masivos

Plesk 9 tiene una herramienta integrada para gestionar las colas de correo de Qmail y Postfix.

/usr/local/psa/admin/bin/mailqueuemng --help
qmHandle v1.2.0

Lista de las estadísticas de qmail MailQueue

./QmHandle-s


Eliminar todos los mensajes de la cola

./QmHandle-D


Para obtener más opciones de ver la ayuda

./QmHandle - ayuda

Los parámetros disponibles:
-a: intenta enviar mensajes en cola ahora (qmail debe estar en ejecución)
-l: lista de colas de mensajes
-L: cola de la lista de mensajes locales
-R: cola de la lista de mensajes a distancia
-s: muestra algunas estadísticas
-MN: pantalla de mensajes del número N
-DN: borrar el mensaje número N
-sText: eliminar todos los mensajes que han / contener texto como Asunto
-D: borra todos los mensajes de la cola (locales y remotos)
-V: versión impresa del programa

Adicional (opcional) los parámetros:
-c: mostrar la salida de color
-N: Los números de la lista de mensajes sólo
(para ser utilizado con-l,-L o R)

You can view/delete multiple message i.e. -d123 -v456 -d567
--------------
te dice la cantidad de emails que tenes en cola

 

hola, para analizar la cola de correo utilizo el mismo plesk, los mensajes son enviados en teoria de diferentes cuentas de un mismo dominio, pero claro las ip no concuerdan osea que todo me hace pensar que un spammer utiliza estas cuentas de alguna manera para enviar correos masivamente ahora estoy analizando el maillog pero no se como detectar de donde vienen estos correos o si estan utilizando algun script oculto, supongo que la respuesta estara en el maillog, ¿como puedo analizar estos logs e interpretarlos de forma correcta?, ¿existe alguna aplicación?.
saludos y gracias.

 

Dentro de /var/qmail/bin tenemos varios binarios que pueden ayudarnos a encontrar la raiz del problema:

1) En primer lugar ejecutamos ./qmail-qstat, con este comando conseguimos el numero de mensajes que hay en cola:

messages in queue: 52 <==
messages in queue but not yet preprocessed: 0

En este caso 52 mensajes son muy poco, por lo tanto, en el servidor donde estoy haciendo la prueba no hay spam. Imaginemos que hay 23876, en este caso vamos a analizar que es lo que pasa.

2) El siguiente comando que vamos a utilizar es ./qmail-qread, la salida de este comando muestra los destinatarios y los senders:

9 Mar 2006 22:59:28 GMT ##162504751 166781 <info@lalala.com> bouncing
done remote lala@lalala.com
done remote lala@lalala.com
done remote lala@lalala.com
done remote lala@lalala.com
done remote lala@lalala.com


3) Parece que hemos encontrado un posible correo de spam, pues nada vamos a buscarlo:

find /var/qmail/queue/mess/ -name 162504751

Nos encontrara el mensaje en cuestion /var/qmail/queue/mess/22/162504751, le hacemos un more o un cat:

Y nos fijamos en la etiquete Received:

Received: (qmail 28319 invoked by uid 10003); 9 Mar 2006 22:58:58 +0100

El correo con id 28319 ha sido llamado por el usuario 10003, todo parece indicar que puede ser un cgi de alguna web, pues nada, lo miramos:

grep 10003 /etc/passwd => encontrariamos al usuario, en su caso proceder.

Received: (qmail 28319 invoked by apache); 9 Mar 2006 22:58:58 +0100

El correo ha sido enviado por apache, puede ser algun script en php, con el siguiente script podemos ver los scripts en php que se estan ejecutando en este mismo instante:

lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ' { if(!str) { str=$1 } else { str=str","$1}}END{print str}'` | grep vhosts | grep php
httpd 21751 apache 302r REG 130,13 95 60964898 /var/www/vhosts/prueba.com/httpdocs/index.php
Received: (qmail 28319 invoked from network); 9 Mar 2006 22:58:58 +0100
El usuario que lo envia es un usuario autentificado.

 

Gracias por tus respuestas es super util la informacion, aplicare las instrucciones que me has dado a ver que encuentro.

Saludos y gracias

 

seguimos igual...

otro ataque de envio masivo, ahora he analizado segun la cola de correo y los mensajes parecen ser enviados remotamente pero con cuenta autorizada aca muestro el encabezado:
Received: (qmail 19622 invoked from network); 13 Sep 2005 17:52:36 +0700
Received: from external_domain.com (220.230.10.20)
y luego en from aparece la cuenta autorizada que es una cuenta que existe y esta autorizada, el problema es que son diferentes cuentas del mismo cliente...

he mirado las ip y son unas 15 diferentes que se vuelven as repetir y las he bloqueado por firewall. Ahora como logra este spammer enviar correo a traves de mi servidor si la autentificacion es requerida y funciona perfectamente y he comprobado en busca de claves faciles y no hay ninguna, seria bueno activar "Verificar las contraseñas para los buzones en el vocabulario" en plesk? y que pasa cuando se activa? esto obligara a mis clientes a cambiar sus claves?

Gracias y saludos.

 

Si es autentificado te detectaron las claves... si no los es? acaso eres openrelay? bloquear Ips no es la solucion ..prueba cambiar todas las contraseñas ....

 

si, creo que el tema va por este punto, por otra parte lo del open relay tambien puede ser, comenzare a notificar el cambio de claves y activare "Verificar las contraseñas para los buzones en el vocabulario" en plesk. Ahora bien he mirado las claves y no hay ninguna devil y esto es raro tambien hoy tube que dar de baja la ip del server de varias Blacklist y es por esto que fui a bloquear ips directamente, Como puedo monitorizar el trafico smtp de forma que me avise en donde note trafico o peticiones de salida de correo elevadas?
saludos y gracias.

 

test de openrelay

Por si a alguien le sirve he comprobado mi server para saber si es open relay en esta dirección:
(abuse.net/relay.html)
por suerte todo ok.

 

Es posible que tengas algún cliente cuyo PC (o similar) esté infectado y sea el responsable de esos envíos masivos. ¿Puedes ver qué usuario utilizan cuando se autentifican para el envío?

 

he intentado esto pero sin resultados, se tendría que ver el usuario que envia en el mailog??, hoy sigo con ataques esta es la cabecera de los mensajes:

Received: (qmail 3906 invoked from network); 1 Apr 2011 09:35:49 +0200
Received: from server217-174-240-68.live-servers.net (217.174.240.68)
by h1481762.stratoserver.net with SMTP; 1 Apr 2011 09:35:49 +0200
Received: from [217.174.240.68] by server217-174-240-68.live-servers.net id ce0XCsdhNcpu with SMTP; Fri, 01 Apr 2011 08:35:49 +0100
Date: Fri, 01 Apr 2011 08:35:49 +0100
From: "Order" <andy@live-servers.net>
X-Mailer: The Bat! (v4.2.87.5) Personal
X-Priority: 3 (Normal)
Message-ID: <205747723.78938467031710@server217-174-240-68.live-servers.net>
To: <f.poeschl@poeschlnet.com>

he imtentado todo y no puedo dar con el bache de seguridad ya estoy medio desesperado si alguien me puede hechar una mano se lo agradezco.

 

Solucionado por el momento

Bueno finalmente analizando el mailog encontre al spammer resulta que no se como pero enviaba correo autorizado haciendo login con una cuenta de cliente, por un lado y ya se que no es lo correcto pero bloquee su ip y por otro force a cambiar las contraseñas de todas las cuentas no permitiendo el uso de claves deviles, por el momento todo bien. Lo unico es que me gustaria comprender, primero ¿como se hizo con la cuenta y con la clave? y segundo ¿como la configuracion del server smtp (qmail) le permite enviar correo a un usuario remoto con una cuenta de correo que no coincide con su usuario? es de locos y un poco ridiculo... en fin gracias a todos por las respuestas!! y saludos.