1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

¿Cómo monitorear el tráfico spam en un vps?

Tema en 'Asuntos Técnicos' iniciado por raxp, 13 Feb 2016.

  1. raxp

    raxp Usuario activo

    Mi proveedor tiene un detector de spam y resulta que me acusa que estoy abusando del correo electrónico
    cuando casi nunca lo utilizo.
    Como se ve en esta imagen.

    [​IMG]

    ¿Cómo monitoreo el tráfico?

    Quizá algo se haya colado en este VPS porque en 15 días a lo mucho envío y recibo 3 a 4 mensajes electrónicos importantes lo que se me hace difícil bloquear el puerto 25.

    ¿Cómo le hago para darme cuenta el tráfico masivo de correo electrónico?
    Por que ya van 4 veces que me dice lo mismo y me suspende el VPS.
     
  2.  
  3. justice13

    justice13 Usuario activo


    ¿Qué tipo de sitios alojas?
     
    A nonamef191118 le gusta esto.
  4. Si algún dominio de tu VPS está haciendo spam, tendrás que mirar la cola de salida del correo e identificar al responsable y tomar medidas.

    Comprueba tampoco que no te hayan colado alguna webshell.

    ¿Qué panel de control usas? ¿cPanel o Plesk?
     
  5. raxp

    raxp Usuario activo

    2 blogs
    Uno en wordpress actualizado
    y otro en Drupal también actualizado

    El server se configuró hace 2 meses
    Mi contraseña es compleja más de 10 caracteres con símbolos.


    El soporte me dijo esto
    CODE, HTML o PHP Insertado:
    Event log:
    02-06-2016 08:26 PM Device over threshold, type = smtp, size 4000 packets
    
     
  6. Vale,

    ¿Qué panel usas? ¿cPanel o Plesk?
    ¿Has comprobado que no tengas ninguna webshell con rkhunter o chkrootkit?
     
  7. raxp

    raxp Usuario activo

    Utilizo ispconfig3.
    No encontré ninguna webshell
     
  8. A raxp le gusta esto.
  9. Estudiseno

    Estudiseno Usuario activo

    Hola.

    Revisa la salida de /var/log/mail.info y /var/log/auth.log
    En el primero si es cierto ese envío de correo, en el segundo quien se conecta a tu servidor.

    Si tienes los CMS/themes/plugins actualizados no deberías tener problemas.

    Un saludo.
     
    A raxp le gusta esto.
  10. raxp

    raxp Usuario activo

    cat /var/log/mail.info
    CODE, HTML o PHP Insertado:
    Feb 14 15:20:02 sv1 postfix/smtp[13010]: ED3442A20028: to=<root@mdns1.dominio.com>, relay=none, delay=0.08, delays=0/0.01/0.06/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=mdns1.dominio.com type=AAAA: Host not found)
    Feb 14 15:20:02 sv1 postfix/cleanup[12952]: 0C4C52A20A6E: message-id=<20160214202002.0C4C52A20A6E@dns1.dominio.com>
    Feb 14 15:20:02 sv1 postfix/qmgr[3663]: 0C4C52A20A6E: from=<>, size=3340, nrcpt=1 (queue active)
    Feb 14 15:20:02 sv1 postfix/bounce[13011]: ED3442A20028: sender non-delivery notification: 0C4C52A20A6E
    Feb 14 15:20:02 sv1 postfix/qmgr[3663]: ED3442A20028: removed
    Feb 14 15:20:02 sv1 postfix/smtp[13010]: 0C4C52A20A6E: to=<smmsp@mdns1.dominio.com>, relay=none, delay=0.01, delays=0/0/0.01/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=mdns1.dominio.com type=AAAA: Host not found)
    Feb 14 15:20:02 sv1 postfix/qmgr[3663]: 0C4C52A20A6E: removed
    Feb 14 15:25:01 sv1 dovecot: imap-login: Disconnected (disconnected before greeting, waited 0 secs): user=<>, rip=::1, lip=::1, secured, session=<be/dscArSAAAAAAAAAAAAAAAAAAAAAAB>
    Feb 14 15:25:01 sv1 dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=::1, lip=::1, secured, session=<FA3escArCwAAAAAAAAAAAAAAAAAAAAAB>
    Feb 14 15:25:01 sv1 postfix/smtpd[13105]: connect from localhost[::1]
    Feb 14 15:25:01 sv1 postfix/smtpd[13105]: lost connection after CONNECT from localhost[::1]
    Feb 14 15:25:01 sv1 postfix/smtpd[13105]: disconnect from localhost[::1]
    Feb 14 15:30:01 sv1 dovecot: imap-login: Disconnected (disconnected before greeting, waited 0 secs): user=<>, rip=::1, lip=::1, secured, session=<IUnIw8ArdAAAAAAAAAAAAAAAAAAAAAAB>
    Feb 14 15:30:01 sv1 postfix/smtpd[13227]: connect from localhost[::1]
    Feb 14 15:30:01 sv1 dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=::1, lip=::1, secured, session=<uX/Iw8ArNwAAAAAAAAAAAAAAAAAAAAAB>
    Feb 14 15:30:01 sv1 postfix/smtpd[13227]: lost connection after CONNECT from localhost[::1]
    Feb 14 15:30:01 sv1 postfix/smtpd[13227]: disconnect from localhost[::1]
    Feb 14 15:35:01 sv1 dovecot: imap-login: Disconnected (disconnected before greeting, waited 0 secs): user=<>, rip=::1, lip=::1, secured, session=<7Oij1cArDgAAAAAAAAAAAAAAAAAAAAAB>
    Feb 14 15:35:01 sv1 dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=::1, lip=::1, secured, session=<DP+j1cAr0QAAAAAAAAAAAAAAAAAAAAAB>
    Feb 14 15:35:01 sv1 postfix/smtpd[13362]: connect from localhost[::1]
    Feb 14 15:35:01 sv1 postfix/smtpd[13362]: lost connection after CONNECT from localhost[::1]
    Feb 14 15:35:01 sv1 postfix/smtpd[13362]: disconnect from localhost[::1]
    
    cat /var/log/auth.log
    La única IP que acepta el servidor es la mía aunque hay muchos intentos fallidos de otras IP.
    CODE, HTML o PHP Insertado:
    Feb 14 15:30:04 sv1 sshd[13192]: pam_unix(sshd:session): session opened for user root by (uid=0)
    Feb 14 15:31:01 sv1 CRON[13266]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:31:01 sv1 CRON[13266]: pam_unix(cron:session): session closed for user root
    Feb 14 15:32:01 sv1 CRON[13282]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:32:01 sv1 CRON[13282]: pam_unix(cron:session): session closed for user root
    Feb 14 15:33:01 sv1 CRON[13297]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:33:01 sv1 CRON[13297]: pam_unix(cron:session): session closed for user root
    Feb 14 15:34:01 sv1 CRON[13311]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:34:01 sv1 CRON[13311]: pam_unix(cron:session): session closed for user root
    Feb 14 15:35:01 sv1 CRON[13329]: pam_unix(cron:session): session opened for user getmail by (uid=0)
    Feb 14 15:35:01 sv1 CRON[13330]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:35:01 sv1 CRON[13329]: pam_unix(cron:session): session closed for user getmail
    Feb 14 15:35:01 sv1 CRON[13330]: pam_unix(cron:session): session closed for user root
    Feb 14 15:36:01 sv1 CRON[13396]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:36:01 sv1 CRON[13396]: pam_unix(cron:session): session closed for user root
    Feb 14 15:37:01 sv1 CRON[13410]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:37:01 sv1 CRON[13410]: pam_unix(cron:session): session closed for user root
    Feb 14 15:38:01 sv1 CRON[13424]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:38:01 sv1 CRON[13424]: pam_unix(cron:session): session closed for user root
    Feb 14 15:39:01 sv1 CRON[13438]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:39:01 sv1 CRON[13439]: pam_unix(cron:session): session opened for user root by (uid=0)
    Feb 14 15:39:02 sv1 CRON[13439]: pam_unix(cron:session): session closed for user root
    Feb 14 15:39:02 sv1 CRON[13438]: pam_unix(cron:session): session closed for user root
    
     
  11. Estudiseno

    Estudiseno Usuario activo

    ¿¿y cuantos correos en cola?? mail -q
     
  12. raxp

    raxp Usuario activo

    root@sv1:~# mailq
    Mail queue is empty
     
  13. Estudiseno

    Estudiseno Usuario activo

    Pues si la cola la tienes vacía... no creo que envíes SPAM.

    Que te de mas detalles tu proveedor.
     
  14. leny

    leny Usuario activo

    suena como que los correos estan saliendo por php-mail. puedes desactivarlo desde tu apache o pidele a tu proveedor que lo desactive por ti. Si se esta enviando correos pero no aparecen en la cola de mensajes enviados, asi que se esta enviando por php. Mas seguro algun plugin que tienes instalado se infecto, actualiza todo y elimina los que no estes utilizando. Igual con los temas, elimina cualquier tema instalado que no estes utilizando, muchas veces asi entra los spambots
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·