correle a tus logs AWSTAT, el te mostrará las luz... 2011/7/19 Rodrigo Gutiérrez Torres <[email protected]>
> Resumí todas las respuestas que me llegaron en esta respuesta: > > Respecto a si hay máquinas zombi, está claro que encontré equipos con > spyware. De hecho, el limpiarlos bajó mucho la cantidad de correos, pero > para reconocerlos fue por descarte: "¿qué máquinas quedaron encendidas > el fin de semana?". > Las máquinas con problemas, hasta ahora, son sólo máquinas con Windows. > Las máquinas con IOs y Linux hasta ahora las estoy descartando. > En las estadísticas que manda el servidor a la cuenta admin, no veo que > alguno de los usuarios envíe más que antes, pero sí veo que hay gente > enviando que no pertenece a mi dominio. Llama mi atención un > "from:<>" (cuenta de envío en blanco) y un "verifibyvisa.fr". > Si me conecto con el usuario zimbra y reviso la cola (mailq), llama mi > atención que aparecen IPs asociadas a la cuenta de envío, pero no son > cuentas mías ni las direcciones corresponden a mi segmento de red. > Ese informe, me parece, se construye a partir del log del archivo > maillog, por lo que no registra quién se identificó para enviar el > correo, sino que toma lo registrado en "from" y "to" para construir esa > estadística. > Que alguien esté entrando por la interfaz web, para mi tiene sentido, > porque veo que estos últimos días, entre 2 y 3 de la mañana, salen 200 y > algo correos... pero el domingo no se envió nada. > De todos modos revisé cuenta por cuenta, lo que sirvió para limpiar > bastante. > Me queda por averiguar quién se identificó para enviar el correo... > ¿habrá algún lugar donde quede registrado eso?. > > > El lun, 18-07-2011 a las 15:46 -0400, Rodrigo Valenzuela escribió: > > Un zombie en tu red? Un equipo envirulado... > > > > SI tienes estadísticas de envío ve quién manda más que antes en promedio > y > > ahí ataca el problema. A la cuenta [email protected] llegan esas > > estadísticas. > > > > 2011/7/18 Rodrigo Gutiérrez Torres <[email protected]> > > > > > Señores: > > > > > > Me he encontrado que hay correos que no son de mi dominio y que sí > salen > > > por mi servidor de correos. > > > Me di cuenta al revisar los logs y estadísticas que indican que mandé > > > gran cantidad de correo a una hora donde se supone no había gente. > > > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. > > > La red no es grande, algo así como 100 máquinas, pero no he podido > > > encontrar el origen del correo. Revisé el maillog y zimbra.log, y > aunque > > > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. > > > No creo que sea problema de relay, porque está acotado a la máquina > > > local y se necesita autenticarse para mandar correo. > > > Agradeceré si me orientan en como pillar a este individuo. > > > > > > Salu2, > > > > > > > > > > > > -- Jorge Palma Escobar
