Tenemos un servidor CentOS, ejecutando Sendmail e ISPConfig como panel. Recientemente notamos un gran aumento en el tráfico proveniente de una cuenta falsa de Yahoo. Los registros muestran que se enviaron cientos de correos electrónicos en poco tiempo.
Estamos intentando aislar el script, pero tenemos varios sitios ejecutándose y no sabemos dónde buscar primero.
¿Ideas?
-- Como no ha habido resultados, asumo que la gente no lo sabe, que nunca será fácil o que no estoy proporcionando suficiente información.
Hemos intentado buscar en los archivos del servidor '@yahoo' y similares, pero existe la posibilidad de que obtenga la dirección de correo electrónico de un sitio o archivo externo. ¿Podemos determinar fácilmente alguna referencia a archivos externos? Usamos archivos .js internos para todo, por lo que no debería haber demasiados.
o cualquier otra idea..
Respuesta1
¿Por qué considera que debe ser un script en su servidor el que envía esos correos electrónicos? ¿Mencionas que tienes sendmail en la máquina ejecutándose; tal vez esté actuando como retransmisión abierta o alguien haya configurado otro proceso que reenvía el correo a tu sendmail real?
Primero verifique el probador de relé abierto de su host, tal vez:http://www.abuse.net/relay.html
Entonces, al menos comenzaría con esta lista de verificación:
- comprobar si sendmail actúa como retransmisión abierta
- detener sendmail para enviar todos los correos y comprobar lo que llega a la cola: ¿los encabezados del correo electrónico sin procesar podrían ofrecer algunas pistas?
- verifique qué puertos tiene abiertos y verifique que cada puerto abierto que tenga corresponda a la aplicación que sabe que debería estar ejecutándose.
- durante la avalancha de correos electrónicos que llegan a su servidor, verifique qué está sucediendo con netstat y lsof
Respuesta2
Puede ejecutar lsof mientras se envía spam para ver a qué archivos del servidor se accede.
Además, mientras el spam esté en la cola, intenta mirar el contenido del mensaje antes de que se envíe para ver si proporciona alguna pista sobre su procedencia. Por ejemplo, si es de un formulario en uno de los sitios alojados en el servidor, podría revelar un campo único en el formulario, que luego puede extraer de los archivos de su sitio.