2011/7/27 Rodrigo Gutiérrez Torres <[email protected]>: > Estimados amigos :) > > Una de las cosas más interesantes de los hilos de conversación, son los > resultados a los que llegó el del problema. > En definitiva, encontramos un poco de todo. > Del total de correo extra que estábamos enviando, un 80% se resolvió al > encontrar máquinas con spyware que limpiamos. Desgraciadamente no > encontré una forma de identificar a estos individuos de una manera > simple, por lo que tuvimos que pasar por todos los computadores > revisando. > El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos > que recurrir a los amigos de IT-Linux (que son "maestros" en Zimbra) > para que nos enseñaran a revisar los logs, porque aunque dedicamos > muchas horas en el análisis, no dimos con la forma. > Básicamente, usamos el comando "grep" sobre los archivos zimbra.log.* > buscando las entradas de autentificación (sasl_username) y descartando > de la salida las conexiones desde IP en Chile, preguntando por IP > encontrada con el comando "whois". > Al final era una cuenta de bodega que un tipo en Marruecos usaba. > Salu2, y espero que esto sirva para la bitácora. > > > El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió: >> solo debes de revisar los logs de tu mailserver. >> >> Es muy tipico que te logren intervenir las cuentas de usuarios donde la >> contraseña sea debil, ejemplo >> >> user: [email protected] >> pass: pepito >> >> Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma >> remota como a traves del webmail para enviar spam. >> >> Intenta revisar que volumen de mail han enviados tus usuarios, cuando >> detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus >> preferencia (webmail zimbra) >> >> lo mas probable, es que aparecezca con otro nombre y ademas con una cuenta >> para el reenvio de los mail :) >> >> Saludos y suerte! >> >> El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres < >> [email protected]> escribió: >> >> > Señores: >> > >> > Me he encontrado que hay correos que no son de mi dominio y que sí salen >> > por mi servidor de correos. >> > Me di cuenta al revisar los logs y estadísticas que indican que mandé >> > gran cantidad de correo a una hora donde se supone no había gente. >> > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. >> > La red no es grande, algo así como 100 máquinas, pero no he podido >> > encontrar el origen del correo. Revisé el maillog y zimbra.log, y aunque >> > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. >> > No creo que sea problema de relay, porque está acotado a la máquina >> > local y se necesita autenticarse para mandar correo. >> > Agradeceré si me orientan en como pillar a este individuo. >> > >> > Salu2, >> > >> > >> >> > > --
A nosotros hace un par de meses nos paso algo similar, al final llegamos a la determinación que Zimbra como soft en algunos casos puede ser bueno y en otros no, en realidad es como todos, pero en definitiva el problema fue que debido a un bug que tenia zimbra, una persona de afuera logro de alguna forma acceder desde quizás alguna cuenta de de correo de algún usuario y nos empezó a colgar spam como loco, gracias a los análisis realizados encontramos el problema y pudimos neutralizar el ataque. Saludos Cordiales. -- -------------------------------------------- Roberto Quiñones Owner - Service Manager and System ACShell.NET – Internet Services [email protected] - www.acshell.net San Martin #311 Santiago – CL (Chile) +560981361713 --------------------------------------------
