Creo que para identificar a las maquinas que enviaban correos como zombies hubiese bastado con una herramienta tipo wireshark :)
Atte. 2011/7/27 Rodrigo Gutiérrez Torres <rodrigogutierreztor...@gmail.com> > Estimados amigos :) > > Una de las cosas más interesantes de los hilos de conversación, son los > resultados a los que llegó el del problema. > En definitiva, encontramos un poco de todo. > Del total de correo extra que estábamos enviando, un 80% se resolvió al > encontrar máquinas con spyware que limpiamos. Desgraciadamente no > encontré una forma de identificar a estos individuos de una manera > simple, por lo que tuvimos que pasar por todos los computadores > revisando. > El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos > que recurrir a los amigos de IT-Linux (que son "maestros" en Zimbra) > para que nos enseñaran a revisar los logs, porque aunque dedicamos > muchas horas en el análisis, no dimos con la forma. > Básicamente, usamos el comando "grep" sobre los archivos zimbra.log.* > buscando las entradas de autentificación (sasl_username) y descartando > de la salida las conexiones desde IP en Chile, preguntando por IP > encontrada con el comando "whois". > Al final era una cuenta de bodega que un tipo en Marruecos usaba. > Salu2, y espero que esto sirva para la bitácora. > > > El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió: > > solo debes de revisar los logs de tu mailserver. > > > > Es muy tipico que te logren intervenir las cuentas de usuarios donde la > > contraseña sea debil, ejemplo > > > > user: pep...@dominio.cl > > pass: pepito > > > > Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma > > remota como a traves del webmail para enviar spam. > > > > Intenta revisar que volumen de mail han enviados tus usuarios, cuando > > detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus > > preferencia (webmail zimbra) > > > > lo mas probable, es que aparecezca con otro nombre y ademas con una > cuenta > > para el reenvio de los mail :) > > > > Saludos y suerte! > > > > El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres < > > rodrigogutierreztor...@gmail.com> escribió: > > > > > Señores: > > > > > > Me he encontrado que hay correos que no son de mi dominio y que sí > salen > > > por mi servidor de correos. > > > Me di cuenta al revisar los logs y estadísticas que indican que mandé > > > gran cantidad de correo a una hora donde se supone no había gente. > > > La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. > > > La red no es grande, algo así como 100 máquinas, pero no he podido > > > encontrar el origen del correo. Revisé el maillog y zimbra.log, y > aunque > > > veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. > > > No creo que sea problema de relay, porque está acotado a la máquina > > > local y se necesita autenticarse para mandar correo. > > > Agradeceré si me orientan en como pillar a este individuo. > > > > > > Salu2, > > > > > > > > > > > > -- Carlos Francisco Tirado Elgueta Google AdWords Professional (GAP) http://www.ChileMedios.com <http://www.chilemedios.com/> Red Hat Certified Engineer (RHCE) 805010694850055. http://www.LinuxSupport.cl <http://www.linuxsupport.cl/>