Me acorde de la frase: "Todos son Generales despues de la Guerra"
:-) Mis saludos El 27-07-2011, a las 15:38, Carlos Tirado Elgueta <carlos.tir...@gmail.com> escribió: > Creo que para identificar a las maquinas que enviaban correos como zombies > hubiese bastado con una herramienta tipo wireshark :) > > Atte. > > > > 2011/7/27 Rodrigo Gutiérrez Torres <rodrigogutierreztor...@gmail.com> > >> Estimados amigos :) >> >> Una de las cosas más interesantes de los hilos de conversación, son los >> resultados a los que llegó el del problema. >> En definitiva, encontramos un poco de todo. >> Del total de correo extra que estábamos enviando, un 80% se resolvió al >> encontrar máquinas con spyware que limpiamos. Desgraciadamente no >> encontré una forma de identificar a estos individuos de una manera >> simple, por lo que tuvimos que pasar por todos los computadores >> revisando. >> El 20% restante, se debió a contraseñas débiles. Debo decir que tuvimos >> que recurrir a los amigos de IT-Linux (que son "maestros" en Zimbra) >> para que nos enseñaran a revisar los logs, porque aunque dedicamos >> muchas horas en el análisis, no dimos con la forma. >> Básicamente, usamos el comando "grep" sobre los archivos zimbra.log.* >> buscando las entradas de autentificación (sasl_username) y descartando >> de la salida las conexiones desde IP en Chile, preguntando por IP >> encontrada con el comando "whois". >> Al final era una cuenta de bodega que un tipo en Marruecos usaba. >> Salu2, y espero que esto sirva para la bitácora. >> >> >> El lun, 18-07-2011 a las 18:34 -0400, Carlos Tirado Elgueta escribió: >>> solo debes de revisar los logs de tu mailserver. >>> >>> Es muy tipico que te logren intervenir las cuentas de usuarios donde la >>> contraseña sea debil, ejemplo >>> >>> user: pep...@dominio.cl >>> pass: pepito >>> >>> Un spammer con 1 de esas cuentas, puede usar tu zimbra ya sea en forma >>> remota como a traves del webmail para enviar spam. >>> >>> Intenta revisar que volumen de mail han enviados tus usuarios, cuando >>> detectes que alguno esta enviando mas mail que de lo comun, ingresa a sus >>> preferencia (webmail zimbra) >>> >>> lo mas probable, es que aparecezca con otro nombre y ademas con una >> cuenta >>> para el reenvio de los mail :) >>> >>> Saludos y suerte! >>> >>> El 18 de julio de 2011 15:09, Rodrigo Gutiérrez Torres < >>> rodrigogutierreztor...@gmail.com> escribió: >>> >>>> Señores: >>>> >>>> Me he encontrado que hay correos que no son de mi dominio y que sí >> salen >>>> por mi servidor de correos. >>>> Me di cuenta al revisar los logs y estadísticas que indican que mandé >>>> gran cantidad de correo a una hora donde se supone no había gente. >>>> La solución de correos es Zimbra 6.0.13 montado sobre un Centos 5.6. >>>> La red no es grande, algo así como 100 máquinas, pero no he podido >>>> encontrar el origen del correo. Revisé el maillog y zimbra.log, y >> aunque >>>> veo el tráfico, no veo la ip o el nombre de la máquina que lo originó. >>>> No creo que sea problema de relay, porque está acotado a la máquina >>>> local y se necesita autenticarse para mandar correo. >>>> Agradeceré si me orientan en como pillar a este individuo. >>>> >>>> Salu2, >>>> >>>> >>> >>> >> >> > > > -- > Carlos Francisco Tirado Elgueta > Google AdWords Professional (GAP) > http://www.ChileMedios.com <http://www.chilemedios.com/> > Red Hat Certified Engineer (RHCE) 805010694850055. > http://www.LinuxSupport.cl <http://www.linuxsupport.cl/>