 |
Manual de los Servidores Dinámicos |
|
|
|
Manual de los Servidores Dinámicos |
|
Hemos identificado los mensajes en la cola de correo con
# /var/qmail/bin/qmail-qread 18 Jul 2005 15:03:07 GMT #2996948 9073 bouncing done remote user1@domain1.com done remote user2@domain2.com
Posteriormente hemos buscado el mensaje y hemos leido su contenido
# find /var/qmail/queue/mess/ -name 2996948
Y por fin hemos encontrado que el origen del spam es un script dentro del servidor que ejecuta un cierto usuario
Received: (qmail 19514 invoked by uid 10003); 13 Sep 2005 17:48:22 +0700
Vamos a descubrir quien es este usuario buscando el uid en el fichero de passwords
# grep 10003 /etc/passwd
Si encontramos el usuario tendremos que localizar en su directorio el programa que está causando el problema.
Pero es muy probable que el usuario que descubramos sea ‘apache’ y que el spam se esté generando en alguna página web de contacto con un php mal protegido. Normalmente los scripts incluyen un destinario válido que no dará la pista de donde se encuentra el programa que tenemos que corregir.
Pero averiguar el programa que está enviando el spam no es fácil en todos los casos. Si el mensaje no nos aporta ninguna información podemos tratar de utilizar el siguiente comando que nos indicará los php que se están ejecutando en tiempo real.
# lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ' { if(!str) { str=$1 }
else { str=str","$1}}
END {print str}'` | grep vhosts | grep php
Otra estrategia interesante es revisar los mensajes que no han podido ser entrados. Cuando estamos actuando de relay del spam hay muchos mensajes que no se pueden entregar y que se almacenan en la carpeta de spam.
Podemos clasificarlos por fechas con el siguiente script
-bash-3.00# ls -l|cut -c 33-39|sort|uniq -c|more