subject:"problema LOCALRELAY Alert"

Re: problema LOCALRELAY Alert

2017-03-01 Por tema Alvaro Herrera

Etienne Melián A. escribió:

> hay una opcion donde puedo limitar el maximo numero de envios de email por
> hora. pero al tener esta porquería que manda spam, me satura y deja sin
> poder enviar email a los usuarios.

:-(

> cuando pasa esto, es una especie de infección, o alguien esta manipulando el
> server.

Es posible que no sea ni lo uno ni lo otro, sino que el servidor está
mal configurado y alguien se dió cuenta y se están aprovechando del
problema.  O bien, el sistema tiene un agujero de seguridad, alguien se
coló y cambió la configuración.  Supongo que tienes una distribución de
linux soportada y con todos los parches al día.

> ¿se soluciona si le cambio la ip o sería algo momentaneo?

Con suerte podría ser momentáneo; es posible que no soluciones nada con
eso.

> ¿existe algun programa que pueda correr por consola y me acuse que esta
> pasando permitiendome darle solución?
> ¿hay algun tip o manual en internet que me puedas recomendar para poder ver
> este tema?

No sé de ningún programa automático que detecte el defecto de
configuración (obviamente, quien encontró la falla tiene un programa que
sabe cómo buscar el síntoma y cómo explotarlo, pero de ahí a que te
indique cómo corregir la configuración, hay mucha distancia).

Algunos comentarios:
1. hospedar email es muy difícil (y por lo tanto caro).  No por nada
mucha gente hospeda en otro lado (como google apps) o usa plataformas
pre-configuradas.

2. al cambiar la configuración de plataformas estándares te arriesgas a
problemas como el presente.  "Parece que funciona", sin saber
exactamente qué estás haciendo, es muy arriesgado.

3. Si insistes en hospedar el email tú mismo, necesitas asesoría para
configurar el sistema correctamente.

-- 
Álvaro Herrerahttp://www.twitter.com/alvherre
"La victoria es para quien se atreve a estar solo"

Re: problema LOCALRELAY Alert

2017-03-01 Por tema Carlos Tirado

Administro servidores con cPanel y WHM.

Generalmente este tipo de alertas se puede disparar por algun script que
alguien subio (o te inyectaron) en algun directorio web.

Te recomiendo que revises bien los logs de exim y ademas limites el limite
maximo de envios por hora de los usuarios, con el fin de "limitar" un poco
esta sobredemanda.

Saludos!

El 1 de marzo de 2017, 1:26, Etienne Melián A.  escribió:

> hola a todos listeros Linux,
>
> quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo:
> "lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario".
>
> resulta que desde hoy durante el día me empezaron a llegar esos emails.
> que tienen como contenido algo así, como pego despues de los "- - - - -".
>
> hasta ahora, me han llegado más de 4.000 emails
>
> intenté cambiando la clave del cpanel.
>
> a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los
> emails que llegan, hacen referencia a un dominio (usuario) en particular.
> los otros no se han visto afectados.
>
> corrí el clamav y detecto algunos troyanos. ejecuté limpiar todo, pero
> sigue el problema.
>
> porfa, si me pueden indicar que podría hacer para evitar esta situación
> antes que me genere mayores problemas con el dominio en cuestión.
>
> muchas gracias de antemano.
>
> este es el contenido que me llega en el email.
>
> - - - -
>
> Time:  Wed Mar  1 01:14:04 2017 -0300
> Type:  LOCALRELAY, Local Account - usuario
> Count: 101 emails relayed
> Blocked: No
>
> Sample of the first 10 emails:
>
> 2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2433 T="You received a private message from NatWest"
> forjohn.cuthbert...@laidlaw.net
> 2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2433 T="You received a private message from NatWest"
> forjohn.cut...@cutlermarine.com
> 2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2447 T="You received a private message from NatWest"
> forjohn.cut...@hammond-logistics.co.uk
> 2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2441 T="You received a private message from NatWest"
> forjohn.czarn...@serversource.co.uk
> 2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2429 T="You received a private message from NatWest"
> forjohn.d.greenw...@jgb.co.uk
> 2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2425 T="You received a private message from NatWest"
> forjohn.da...@propmanco.com
> 2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2423 T="You received a private message from NatWest"
> forjohn.dai...@vosa.gov.uk
> 2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2421 T="You received a private message from NatWest"
> forjohn.da...@marshmc.com
> 2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2421 T="You received a private message from NatWest"
> forjohn.dal...@virgin.net
> 2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl
> U=usuario P=local S=2435 T="You received a private message from NatWest"
> forjohn.dallim...@lcegroup.co.uk
>
> - - - - -
>
>


-- 
Carlos Tirado Elgueta
Google Cloud Partner
G Suite Specialist.
http://www.chilemedios.cl

Re: problema LOCALRELAY Alert

2017-03-01 Por tema Etienne Melián A .


hola.

gracias por tu respuesta.

hay una opcion donde puedo limitar el maximo numero de envios de email 
por hora. pero al tener esta porquería que manda spam, me satura y deja 
sin poder enviar email a los usuarios.


te hago una consulta.

cuando pasa esto, es una especie de infección, o alguien esta 
manipulando el server.


¿se soluciona si le cambio la ip o sería algo momentaneo?

¿existe algun programa que pueda correr por consola y me acuse que esta 
pasando permitiendome darle solución?


¿hay algun tip o manual en internet que me puedas recomendar para poder 
ver este tema?


muchas gracias. te pasaste.

saludos.

Etienne.


El 01-03-17 a las 13:26, Alvaro Herrera escribió:

Etienne Melián A. escribió:

hola a todos listeros Linux,

quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo:
"lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario".

resulta que desde hoy durante el día me empezaron a llegar esos emails. que
tienen como contenido algo así, como pego despues de los "- - - - -".

hasta ahora, me han llegado más de 4.000 emails

intenté cambiando la clave del cpanel.

a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los emails
que llegan, hacen referencia a un dominio (usuario) en particular. los otros
no se han visto afectados.

Esto suena a que hay un error en la configuración del servidor de
correo, que está permitiendo pasar más cosas de las que debería.  Por lo
visto parece que te están usando de pasarela para distribuir spam ...
¿Revisaste tus logs?


Sample of the first 10 emails:

2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2433 T="You received a private message from NatWest" 
forjohn.cuthbert...@laidlaw.net
2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2433 T="You received a private message from NatWest" 
forjohn.cut...@cutlermarine.com
2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2447 T="You received a private message from NatWest" 
forjohn.cut...@hammond-logistics.co.uk
2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2441 T="You received a private message from NatWest" 
forjohn.czarn...@serversource.co.uk
2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2429 T="You received a private message from NatWest" 
forjohn.d.greenw...@jgb.co.uk
2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2425 T="You received a private message from NatWest" forjohn.da...@propmanco.com
2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2423 T="You received a private message from NatWest" forjohn.dai...@vosa.gov.uk
2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2421 T="You received a private message from NatWest" forjohn.da...@marshmc.com
2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2421 T="You received a private message from NatWest" forjohn.dal...@virgin.net
2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2435 T="You received a private message from NatWest" 
forjohn.dallim...@lcegroup.co.uk

Re: problema LOCALRELAY Alert

2017-03-01 Por tema Alvaro Herrera

Etienne Melián A. escribió:
> hola a todos listeros Linux,
> 
> quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo:
> "lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario".
> 
> resulta que desde hoy durante el día me empezaron a llegar esos emails. que
> tienen como contenido algo así, como pego despues de los "- - - - -".
> 
> hasta ahora, me han llegado más de 4.000 emails
> 
> intenté cambiando la clave del cpanel.
> 
> a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los emails
> que llegan, hacen referencia a un dominio (usuario) en particular. los otros
> no se han visto afectados.

Esto suena a que hay un error en la configuración del servidor de
correo, que está permitiendo pasar más cosas de las que debería.  Por lo
visto parece que te están usando de pasarela para distribuir spam ...
¿Revisaste tus logs?

> Sample of the first 10 emails:
> 
> 2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2433 T="You received a private message from NatWest" 
> forjohn.cuthbert...@laidlaw.net
> 2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2433 T="You received a private message from NatWest" 
> forjohn.cut...@cutlermarine.com
> 2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2447 T="You received a private message from NatWest" 
> forjohn.cut...@hammond-logistics.co.uk
> 2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2441 T="You received a private message from NatWest" 
> forjohn.czarn...@serversource.co.uk
> 2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2429 T="You received a private message from NatWest" 
> forjohn.d.greenw...@jgb.co.uk
> 2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2425 T="You received a private message from NatWest" 
> forjohn.da...@propmanco.com
> 2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2423 T="You received a private message from NatWest" 
> forjohn.dai...@vosa.gov.uk
> 2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2421 T="You received a private message from NatWest" 
> forjohn.da...@marshmc.com
> 2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2421 T="You received a private message from NatWest" 
> forjohn.dal...@virgin.net
> 2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2435 T="You received a private message from NatWest" 
> forjohn.dallim...@lcegroup.co.uk

-- 
Álvaro HerreraPostgreSQL Expert, https://www.2ndQuadrant.com/
"Para tener más hay que desear menos"

problema LOCALRELAY Alert

2017-03-01 Por tema Etienne Melian

> hola a todos listeros Linux,
> 
> quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo:
> "lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario".
> 
> resulta que desde hoy durante el día me empezaron a llegar esos emails. que 
> tienen como contenido algo así, como pego despues de los "- - - - -".
> 
> hasta ahora, me han llegado más de 4.000 emails
> 
> intenté cambiando la clave del cpanel.
> 
> a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los emails 
> que llegan, hacen referencia a un dominio (usuario) en particular. los otros 
> no se han visto afectados.
> 
> corrí el clamav y detecto algunos troyanos. ejecuté limpiar todo, pero sigue 
> el problema.
> 
> porfa, si me pueden indicar que podría hacer para evitar esta situación antes 
> que me genere mayores problemas con el dominio en cuestión.
> 
> muchas gracias de antemano.
> 
> este es el contenido que me llega en el email.
> 
> - - - -
> 
> Time:  Wed Mar  1 01:14:04 2017 -0300
> Type:  LOCALRELAY, Local Account - usuario
> Count: 101 emails relayed
> Blocked: No
> 
> Sample of the first 10 emails:
> 
> 2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2433 T="You received a private message from NatWest" 
> forjohn.cuthbert...@laidlaw.net
> 2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2433 T="You received a private message from NatWest" 
> forjohn.cut...@cutlermarine.com
> 2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2447 T="You received a private message from NatWest" 
> forjohn.cut...@hammond-logistics.co.uk
> 2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2441 T="You received a private message from NatWest" 
> forjohn.czarn...@serversource.co.uk
> 2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2429 T="You received a private message from NatWest" 
> forjohn.d.greenw...@jgb.co.uk
> 2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2425 T="You received a private message from NatWest" 
> forjohn.da...@propmanco.com
> 2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2423 T="You received a private message from NatWest" 
> forjohn.dai...@vosa.gov.uk
> 2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2421 T="You received a private message from NatWest" 
> forjohn.da...@marshmc.com
> 2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2421 T="You received a private message from NatWest" 
> forjohn.dal...@virgin.net
> 2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl  U=usuario 
> P=local S=2435 T="You received a private message from NatWest" 
> forjohn.dallim...@lcegroup.co.uk
> 
> - - - - -
>

problema LOCALRELAY Alert

2017-02-28 Por tema Etienne Melián A .


hola a todos listeros Linux,

quisiera porfa consultarles si alguno se ha topado con un mensaje del tipo:
"lfd on serverxx.dominio.cl: LOCALRELAY Alert for usuario".

resulta que desde hoy durante el día me empezaron a llegar esos emails. 
que tienen como contenido algo así, como pego despues de los "- - - - -".


hasta ahora, me han llegado más de 4.000 emails

intenté cambiando la clave del cpanel.

a todo esto, es un WHM que maneja distintas cuentas cpanel. Todos los 
emails que llegan, hacen referencia a un dominio (usuario) en 
particular. los otros no se han visto afectados.


corrí el clamav y detecto algunos troyanos. ejecuté limpiar todo, pero 
sigue el problema.


porfa, si me pueden indicar que podría hacer para evitar esta situación 
antes que me genere mayores problemas con el dominio en cuestión.


muchas gracias de antemano.

este es el contenido que me llega en el email.

- - - -

Time:  Wed Mar  1 01:14:04 2017 -0300
Type:  LOCALRELAY, Local Account - usuario
Count: 101 emails relayed
Blocked: No

Sample of the first 10 emails:

2017-03-01 01:13:54 1civeE-0001nG-0d <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2433 T="You received a private message from NatWest" 
forjohn.cuthbert...@laidlaw.net
2017-03-01 01:13:54 1civeE-0001nW-3j <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2433 T="You received a private message from NatWest" 
forjohn.cut...@cutlermarine.com
2017-03-01 01:13:54 1civeE-0001nn-7C <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2447 T="You received a private message from NatWest" 
forjohn.cut...@hammond-logistics.co.uk
2017-03-01 01:13:54 1civeE-0001o1-CG <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2441 T="You received a private message from NatWest" 
forjohn.czarn...@serversource.co.uk
2017-03-01 01:13:54 1civeE-0001o7-Ep <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2429 T="You received a private message from NatWest" 
forjohn.d.greenw...@jgb.co.uk
2017-03-01 01:13:54 1civeE-0001oK-Hg <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2425 T="You received a private message from NatWest" forjohn.da...@propmanco.com
2017-03-01 01:13:54 1civeE-0001oV-LG <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2423 T="You received a private message from NatWest" forjohn.dai...@vosa.gov.uk
2017-03-01 01:13:54 1civeE-0001oh-Nx <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2421 T="You received a private message from NatWest" forjohn.da...@marshmc.com
2017-03-01 01:13:54 1civeE-0001oq-Qe <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2421 T="You received a private message from NatWest" forjohn.dal...@virgin.net
2017-03-01 01:13:54 1civeE-0001ow-Si <=usua...@serverxx.dominio.cl  U=usuario P=local 
S=2435 T="You received a private message from NatWest" 
forjohn.dallim...@lcegroup.co.uk

- - - - -

Re: problema LOCALRELAY Alert

Re: problema LOCALRELAY Alert

Re: problema LOCALRELAY Alert

Re: problema LOCALRELAY Alert

problema LOCALRELAY Alert

problema LOCALRELAY Alert

6 matches

Site Navigation

Mail list logo

Footer information