Spam con Send mail

Discussion:

Spam con Send mail

Gabriel Gonzalez

2011-04-26 18:30:05 UTC

Hola a todos,

Tengo un problema con mi send mail, aunque el RELAY esta cerrado y solo
tengo habilidtado el mismo para la amquina local 127.0.0.1 se envía correo
spam la lista de correos llega a los 40000, he puesto una regla para el
usuario Root pero ahora los envía desde apache, no se que es me esta
volviendo loco, alguien a tenido este problema?

Saludos

Gabriel

Pablo Fredrikson

2011-04-26 18:43:01 UTC

Permalink

El día 26 de abril de 2011 15:30, Gabriel Gonzalez

Post by Gabriel Gonzalez
Hola a todos,
Tengo un problema con mi send mail, aunque el RELAY esta cerrado y solo
tengo habilidtado el mismo para la amquina local 127.0.0.1 se envía correo
spam la lista de correos llega a los 40000, he puesto una regla para el
usuario Root pero ahora los envía desde apache, no se que es me esta
volviendo loco, alguien a tenido este problema?
Saludos
Gabriel

Mira el log y fijate a donde esta enviando y de donde sale

--
Pablo Fredrikson

Gabriel Gonzalez

2011-04-26 19:18:57 UTC

Permalink

-----Mensaje original-----
De: lug-list-***@lugmen.org.ar [mailto:lug-list-***@lugmen.org.ar]
En nombre de Pablo Fredrikson
Enviado el: martes, 26 de abril de 2011 01:43 p.m.
Para: lug-***@lugmen.org.ar
Asunto: Re: Spam con Send mail

El día 26 de abril de 2011 15:30, Gabriel Gonzalez

Mira el log y fijate a donde esta enviando y de donde sale
--
Pablo Fredrikson
----------------------------------------------------------
Hola Pablo gracias por contestar,

Te copio las cabeceras completas y las reglas del sendmail

CABECERA

------------------------------------------------------------
Return-Path: <g>
Received: from visionveterinaria.com.co (visionveterinaria.com.co
[127.0.0.1])by visionveterinaria.com.co (8.13.8/8.13.8) with ESMTP id
p3QI9UFr008326for <***@a0l.com>; Tue, 26 Apr 2011 13:09:32 -0500
Full-Name: Apache
Received: (from ***@localhost)by visionveterinaria.com.co
(8.13.8/8.13.8/Submit) id p3Q9mGPJ020786;Tue, 26 Apr 2011 04:48:16 -0500
Date: Tue, 26 Apr 2011 04:48:16 -0500
Message-Id: <***@visionveterinaria.com.co>
To: ***@a0l.com
Subject: CONTACT WESTERN UNION NOW FOR YOUR FUND.
From: PETER JIM <***@globomail.com>
Reply-To: ***@yahoo.fr
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
--------------------------------------------------------------

REGLAS SENDMAIL

-------------------------------------------------------------

# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
#Connect:localhost.localdomain RELAY
#Connect:localhost RELAY
Connect:127.0.0.1 RELAY
#Connect:192.168.2. RELAY

# visionveterinaria.com.co
# visionveterinaria.com.co RELAY
# envio
# 192.168.2.5 RELAY
# provicional apache
apache@ OK
# provisional usuario
usuario@ REJECT

---------------------------------------------------------------------

Muchas gracias por tu ayuda.

Gabriel

Pablo Fredrikson

2011-04-26 23:24:34 UTC

Permalink

El día 26 de abril de 2011 16:18, Gabriel Gonzalez

Post by Gabriel Gonzalez
-----Mensaje original-----
En nombre de Pablo Fredrikson
Enviado el: martes, 26 de abril de 2011 01:43 p.m.
Asunto: Re: Spam con Send mail
El día 26 de abril de 2011 15:30, Gabriel Gonzalez

Mira el log y fijate a donde esta enviando y de donde sale
--
Pablo Fredrikson
----------------------------------------------------------
Hola Pablo gracias por contestar,
Te copio las cabeceras completas y las reglas del sendmail
CABECERA
------------------------------------------------------------
Return-Path: < g>
Received: from visionveterinaria.com.co (visionveterinaria.com.co
[127.0.0.1])by visionveterinaria.com.co (8.13.8/8.13.8) with ESMTP id
Full-Name: Apache
(8.13.8/8.13.8/Submit) id p3Q9mGPJ020786;Tue, 26 Apr 2011 04:48:16 -0500
Date: Tue, 26 Apr 2011 04:48:16 -0500
Subject: CONTACT WESTERN UNION NOW FOR YOUR FUND.
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
--------------------------------------------------------------
REGLAS SENDMAIL
-------------------------------------------------------------
# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
#Connect:localhost.localdomain RELAY
#Connect:localhost RELAY
Connect:127.0.0.1 RELAY
#Connect:192.168.2. RELAY
# visionveterinaria.com.co
# visionveterinaria.com.co RELAY
# envio
# 192.168.2.5 RELAY
# provicional apache
# provisional usuario
---------------------------------------------------------------------
Muchas gracias por tu ayuda.
Gabriel

Que tal, pero deberias fijarte a donde van todos esos mails que estas
enviando, a ver si sabes quien es el que lo envia,

saludos

--
Pablo Fredrikson

MAbeeTT

2011-04-27 00:51:34 UTC

Permalink

Mira el log y fijate a donde esta enviando y de donde sale
--
Pablo Fredrikson
----------------------------------------------------------
Hola Pablo gracias por contestar,
Te copio las cabeceras completas y las reglas del sendmail
CABECERA
------------------------------------------------------------
Return-Path: < g>
Received: from visionveterinaria.com.co (visionveterinaria.com.co
[127.0.0.1])by visionveterinaria.com.co (8.13.8/8.13.8) with ESMTP id
Full-Name: Apache
(8.13.8/8.13.8/Submit) id p3Q9mGPJ020786;Tue, 26 Apr 2011 04:48:16 -0500
Date: Tue, 26 Apr 2011 04:48:16 -0500
Subject: CONTACT WESTERN UNION NOW FOR YOUR FUND.
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
--------------------------------------------------------------
REGLAS SENDMAIL
-------------------------------------------------------------
# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
#Connect:localhost.localdomain RELAY
#Connect:localhost RELAY
Connect:127.0.0.1 RELAY
#Connect:192.168.2. RELAY
# visionveterinaria.com.co
# visionveterinaria.com.co RELAY
# envio
# 192.168.2.5 RELAY
# provicional apache
# provisional usuario
---------------------------------------------------------------------
Muchas gracias por tu ayuda.

Mirá los logs de apache, el archivo access, también podés bajar el
servicio unos minutos para ver si realmente es apache quien los
manda.

Post by Gabriel Gonzalez
Gabriel

--
.::MAbeeTT::.

mabeett [at] gmail [ dot] com
some time ago:

mtspcchaiaeia [at] gmail [dot] com

Gabriel Gonzalez

2011-04-27 16:59:56 UTC

Permalink

-----Mensaje original-----
De: lug-list-***@lugmen.org.ar [mailto:lug-list-***@lugmen.org.ar]
En nombre de MAbeeTT
Enviado el: martes, 26 de abril de 2011 07:52 p.m.
Para: lug-***@lugmen.org.ar
Asunto: Re: Spam con Send mail

Mira el log y fijate a donde esta enviando y de donde sale
--
Pablo Fredrikson
----------------------------------------------------------
Hola Pablo gracias por contestar,
Te copio las cabeceras completas y las reglas del sendmail
CABECERA
------------------------------------------------------------
Return-Path: < g>
Received: from visionveterinaria.com.co (visionveterinaria.com.co
[127.0.0.1])by visionveterinaria.com.co (8.13.8/8.13.8) with ESMTP id
Full-Name: Apache
(8.13.8/8.13.8/Submit) id p3Q9mGPJ020786;Tue, 26 Apr 2011 04:48:16 -0500
Date: Tue, 26 Apr 2011 04:48:16 -0500
Subject: CONTACT WESTERN UNION NOW FOR YOUR FUND.
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
--------------------------------------------------------------
REGLAS SENDMAIL
-------------------------------------------------------------
# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
#Connect:localhost.localdomain RELAY
#Connect:localhost RELAY
Connect:127.0.0.1 RELAY
#Connect:192.168.2. RELAY
# visionveterinaria.com.co
# visionveterinaria.com.co RELAY
# envio
# 192.168.2.5 RELAY
# provicional apache
# provisional usuario
---------------------------------------------------------------------
Muchas gracias por tu ayuda.

Mirá los logs de apache, el archivo access, también podés bajar el
servicio unos minutos para ver si realmente es apache quien los
manda.

Post by Gabriel Gonzalez
Gabriel

--
.::MAbeeTT::.

mabeett [at] gmail [ dot] com
some time ago:

mtspcchaiaeia [at] gmail [dot] com

--------------------------------------------------------------------

Hola MAbeeTT Gracias por tu ayuda,

He mirado los Log pero no aparece nada,
He parado el servicio de apache y levantado el de sendmail y al minuto tenía
100 correos en la bandeja de entrada,
Será un virus o script de PHP ejecutado desde algún lado? He corrido panda
para Linux pero nada....

Saludos

Gabriel

Pablo S. Dagfal

2011-04-27 17:33:46 UTC

Permalink

Post by MAbeeTT

Post by Gabriel Gonzalez
Muchas gracias por tu ayuda.

Mirá los logs de apache, el archivo access, también podés bajar el
servicio unos minutos para ver si realmente es apache quien los
manda.

Por favor, no escribas debajo de la firma de otra persona, tu respuestas se confunde con la misma.

Si bien no puedo ayudarte con sendmail, solo puedo recomendarte reemplazarlo por otro MTA debido a su largo historial de
vulnerabilidades.

Saludos
--
Pablo S. Dagfal

MAbeeTT

2011-04-28 17:07:50 UTC

Permalink

Post by Gabriel Gonzalez
-----Mensaje original-----
En nombre de MAbeeTT
Enviado el: martes, 26 de abril de 2011 07:52 p.m.
Asunto: Re: Spam con Send mail

Post by Gabriel Gonzalez
Hola a todos,
Tengo un problema con mi send mail, aunque el RELAY esta cerrado y solo
tengo habilidtado el mismo para la amquina local 127.0.0.1 se envía

correo

Post by Gabriel Gonzalez

Post by Gabriel Gonzalez
spam la lista de correos llega a los 40000, he puesto una regla para el
usuario Root pero ahora los envía desde apache, no se que es me esta
volviendo loco, alguien a tenido este problema?
Saludos
Gabriel

Mira el log y fijate a donde esta enviando y de donde sale
--
Pablo Fredrikson
----------------------------------------------------------
Hola Pablo gracias por contestar,
Te copio las cabeceras completas y las reglas del sendmail
CABECERA
------------------------------------------------------------
Return-Path: < g>
Received: from visionveterinaria.com.co (visionveterinaria.com.co
[127.0.0.1])by visionveterinaria.com.co (8.13.8/8.13.8) with ESMTP id
Full-Name: Apache
(8.13.8/8.13.8/Submit) id p3Q9mGPJ020786;Tue, 26 Apr 2011 04:48:16 -0500
Date: Tue, 26 Apr 2011 04:48:16 -0500
Subject: CONTACT WESTERN UNION NOW FOR YOUR FUND.
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
--------------------------------------------------------------
REGLAS SENDMAIL
-------------------------------------------------------------
# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
#Connect:localhost.localdomain RELAY
#Connect:localhost RELAY
Connect:127.0.0.1 RELAY
#Connect:192.168.2. RELAY
# visionveterinaria.com.co
# visionveterinaria.com.co RELAY
# envio
# 192.168.2.5 RELAY
# provicional apache
# provisional usuario
---------------------------------------------------------------------
Muchas gracias por tu ayuda.

Mirá los logs de apache, el archivo access, también podés bajar el
servicio unos minutos para ver si realmente es apache quien los
manda.

Post by Gabriel Gonzalez
Gabriel

--
.::MAbeeTT::.
mabeett [at] gmail [ dot] com
mtspcchaiaeia [at] gmail [dot] com
--------------------------------------------------------------------
Hola MAbeeTT Gracias por tu ayuda,
He mirado los Log pero no aparece nada,
He parado el servicio de apache y levantado el de sendmail y al minuto tenía
100 correos en la bandeja de entrada,
Será un virus o script de PHP ejecutado desde algún lado? He corrido panda
para Linux pero nada....

para ejecutar scripts en php sin que pase por apache podría ser algo
tipo php-cli (command line interface) pero sería muy rebuscado. Fijate
que los mensajes no sean viejos tampoco. Mirá los logs de sendmail,
seguramente podes ponerle una verbosidad paranoica, activala y mirá
paso a paso cada cosa.

--
.::MAbeeTT::.

mabeett [at] gmail [ dot] com
some time ago:

mtspcchaiaeia [at] gmail [dot] com

Alejandro Vargas

2011-04-29 10:41:30 UTC

Permalink

Post by MAbeeTT

Post by Gabriel Gonzalez
He mirado los Log pero no aparece nada,
He parado el servicio de apache y levantado el de sendmail y al minuto tenía
100 correos en la bandeja de entrada,
Será un virus o script de PHP ejecutado desde algún lado? He corrido panda
para Linux pero nada....

para ejecutar scripts en php sin que pase por apache podría ser algo
tipo php-cli (command line interface) pero sería muy rebuscado.

A demás, si ejecutás un script php en línea de comandos, no se ejecuta
con los permisos de Apache sino con los del usuario que lo largó. Si
el spam está saliendo con el usuario apache incluso con el Apache
parado, hay dos posibilidades:
1) alguien se está logueando con ese usuario o haciendo un su a ese usuario
2) lo de "apache" es sólo una distracción, un texto que le ponen por
poner algo pero no indica que se esté usando Apache para enviarlo.

Pablo Fredrikson

2011-04-27 19:00:19 UTC

Permalink

Post by Gabriel Gonzalez
Subject: CONTACT WESTERN UNION NOW FOR YOUR FUND.
MIME-Version: 1.0

Parece ser spam, puede ser que alguien en tu red este enviando spam
usando tu server?

Tiene razon Pablo, sendmail es viejisimo, instalate un postfix

--
Pablo Fredrikson