Detectar si estamos enviando Spam desde Plesk y Qmail

Publicado el en la categoría Plesk, Seguridad

Si tenemos sospechas de que estamos enviando Spam desde Plesk, podemos realizar una serie de comprobaciones para verificar y corregir ésta situación. Normalmente, esta situación se dará por tener alguna aplicación (blog, tienda, cms, etc.) con vulnerabilidades o no actualizada, o bien por que el equipo local del dueño de la página ha sido infectado por algún tipo de malware, y que aprovecha los datos del usuario para conectarse y realizar los envíos de spam.

Lo primero será consultar las estadisticas de Qmail escribiendo:

/var/qmail/bin/qmail-qstat

Obteniendo como resultado:

messages in queue: xxx
messages in queue but not yet preprocessed: 0

Si vemos que en messages in queue tenemos un numero elevado, estamos ante un problema de spam, aunque podemos realizar otra comprobación, para cercionarnos del tipo de correos que se están enviando:

/var/qmail/bin/qmail-qread

Aquí obtenemos un listado con las direcciones a las que se estan enviando correos, de manera que podremos realizar comprobaciones.

Si analizamos uno de los mensajes, deberemos fijarnos en la serie de números que aparecen despues de la almohadilla (#).

24 Oct 2012 16:43:44 GMT  #94357239  840  <nombre@nombre-dominio.com>
remote  nombre@otro-dominio.com

Si realizamos una búsqueda de ese numero:

locate 94357239

Nos deben de aparecer varios archivos. El que nos interesa es el de “mess”:

/var/qmail/queue/info/22/94357239
/var/qmail/queue/mess/22/94357239
/var/qmail/queue/remote/22/94357239

Accederemos a esa ruta y haremos un cat. Con esto obtendremos en  otros la cabecera, el mensaje,  y el pid del usuario desde el que se manda:

Received: (qmail 23455 invoked by uid 10001); 24 Oct 2012 16:45:24 +0300

Si buscamos con el uid 10001:

cat /etc/passwd | grep 10001

Obtendremos quien ha enviado el mensaje. En el caso de haya sido enviado por Apache, significa que tenemos un script vulnerable y que se está utilizando esa vulnerabilidad, por lo que debemos actuar de inmediato. Para identificar al script podemos escribir lo siguiente:

lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ { if(!str) { str=$1 } else { str=str”,”$1}}END{print str}’` | grep vhosts | grep php

Nos irán apareciendo procesos que están usando Apache con lo cual podremos identificar el dominio que probablemente tenga la vulnerabilidad, aunque deberemos esperar al menos un par de horas para que tengamos resultados.

Facebooktwittergoogle_plus