Como Saber quien envia SPAM

Estimados.

Muchas gracias por leer este post, les escribo para saber si alguien me puede ayudar. quier saber quien esta mandando spam en mi servidor de Hosting.

Quiero saber exactamente como hacer y que dominio es el que esta haciendo el spam.

Les agradeceria una ayuda para ver como y que comandos me sirven para poder detectar estos. ya manejo los comandos basicos de exim, pero no logro saber quien manda spam.

Tengo Centos 5.6 Final y WHM+CPANEL en el server. tengo 300 envios de correos por hora.

 

Hola

Lo primero tu puedes editar para cada usuario una cuota de envios de correos por hora.

Segun eso en la opcion de WHM Main >> Email >> View Mail Statistics
en la parte de List of errors puedes ver que usuarios pasaron esa cuota de envio por hora, asi podras determinar que usuario esta enviando una gran cantidad de correos que por lo general podria ser spam

 

Echa un ojo a este plugin de whm, a ver si te ayuda:
http://www.configserver.com/cp/cmq.html

 

Gracias por la respuesta. pude orientarme un poco mas. pero aun no puedo ver con exactitud, quien o quienes estan mandando Spam,

Le agracederia enviar informacion relevante para poder ajustar cambios y preever el mal envio de mails.

Quizas hay un problema de interpretacion.

 

Pues yo te recomendaría primero diferenciar entre el envio spam de cuentas de correo donde alguien tiene los datos de la cuenta, y los correos enviados a través de bugs de páginas de clientes, para esto lo que puedes es utilizar modo suphp así te evitas muchos problemas en el segundo caso para evitar el usuario nobody.

Luego como te comentan los compañeros deberias ver las estadísticas haber que cuenta está enviando correos. Otra opción que en parte seria recomendable sería que limites los envios por hora a 25, seguro que si alguien está haciendo envios a conciencia pues se te quejará.

saludos.

 

Concuerdo con WebTech, tienes que habilitar el logueo extendido de exim.
Luego podras grepear los logs por "cwd=" y vas a saber de donde salen los mails, con un par de sorts y uniq sabes en cuestion de segundos en que carpeta del server estan los archivos para spammear.

 

Pero como hago eso que dices SORTS Y UNIQ, estoy viendo /var/log/exim_mainlog y hay uchas cosas, como hago para mirar quien hace spam ?

 

De memoria no me acuerdo el comando, si queres postea las ultimas 10 lineas de log de exim y te lo armo.

 

2011-06-16 15:55:35 H=pc-57-62-44-190.cm.vtr.net (EC1PC) [190.44.62.57] Warning: Sender rate 12.8 / 1h
2011-06-16 15:55:39 H=mantrafe-vs.nethelp.cl [190.96.80.100] Warning: Sender rate 3.5 / 1h
2011-06-16 15:55:39 1QXIf9-0007iH-I9 <= MAILYDIRECCIONH=pc-57-62-44-190.cm.vtr.net (EC1PC) [190.44.62.57] P=esmtpa A=courier_login:mari$
2011-06-16 15:55:40 1QXIf9-0007iH-I9 => <MAILYDIRECCION> R=virtual_user T=virtual_userdelivery
2011-06-16 15:55:40 1QXIf9-0007iH-I9 => rodrigo.prado <MAILYDIRECCION> R=virtual_user T=virtual_userdelivery
2011-06-16 15:55:40 no host name found for IP address 201.238.245.75
2011-06-16 15:55:40 H=(mail.com) [201.238.245.75] Warning: Sender rate 0.0 / 1h
2011-06-16 15:55:41 1QXIfD-0007iP-JR H=mantrafe-vs.nethelp.cl [190.96.80.100] Warning: "SpamAssassin as ferrovia detected message as NOT spam (-1.9)"
2011-06-16 15:55:41 1QXIfD-0007iP-JR <= MAILYDIRECCION H=mantrafe-vs.nethelp.cl [190.96.80.100] P=esmtp S=38653
2011-06-16 15:55:42 1QXIfD-0007iP-JR => dherrera <MAILYDIRECCION> R=virtual_user T=virtual_userdelivery
2011-06-16 15:55:42 1QXIfD-0007iP-JR Completed
2011-06-16 15:55:42 1QXIfE-0007iS-Lg H=(mail.com) [201.238.245.75] Warning: "SpamAssassin as transmol detected message as spam (25.9)"
2011-06-16 15:55:42 1QXIfE-0007iS-Lg <= [201.238.245.75] P=smtp S=77705
2011-06-16 15:55:42 1QXIfE-0007iS-Lg => /dev/null <MAILYDIRECCION> R=central_filter T=**bypassed**
2011-06-16 15:55:42 1QXIfE-0007iS-Lg Completed
2011-06-16 15:55:44 1QXIf9-0007iH-I9 => MAILYDIRECCIONR=lookuphost T=remote_smtp H=mail.entelchile.net [164.77.62.8]
2011-06-16 15:55:46 H=zion.netlinux.cl [200.75.30.163] Warning: Sender rate 2.5 / 1h
2011-06-16 15:55:46 1QXIfK-0007zh-6r <= MAILYDIRECCIONH=zion.netlinux.cl [200.75.30.163] P=esmtp S=10118 id=4DFA5FC6.4070500@MAILYCIRECCION
2011-06-16 15:55:46 1QXIfK-0007zh-6r => despacho <MAILYDIRECCION> R=virtual_user T=virtual_userdelivery
2011-06-16 15:55:46 1QXIfK-0007zh-6r Completed

 

Me parece que no has habilitado el logueo extendido de exim aun, no podras hacer mucho sin ello.

 

Como lo habilito ? para hacerlo altiro

 

esto te puede servir webhostgear.com/118.html lamentablemente solo encontre guias en ingles

 

OK. ya lo hize.

 

USM,

Como hag esto que me indicas tu,
Luego podras grepear los logs por "cwd=" y vas a saber de donde salen los mails, con un par de sorts y uniq sabes en cuestion de segundos en que carpeta del server estan los archivos para spammear.

Ya tengo el logueo extendido de exim.

 

Estimados. como puedo lograr identificar quien esta mandando Spam si es que efectivamente esta mandando.

 

CODE, HTML o PHP Insertado:

grep "cwd=" /var/log/exim_mainlog

Se pueder correr algunos filtros para ordenar un poco mas esa informacion pero tendria q ver algunas lineas con "cwd=" del log de exim para pasarte el comando completo.

 

Estimado. Ejecute ese comando y me aparecio esto :

2011-06-17 13:31:01 [8625] cwd=/home/activawe 7 args: /usr/sbin/sendmail -FCronDaemon -i -odi -oem -oi -t
2011-06-17 13:31:01 [8636] cwd=/var/spool/exim 4 args: /usr/sbin/exim -odi -Mc 1QXcsn-0002F7-6I
2011-06-17 13:31:11 [8698] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcsx-0002G4-49
2011-06-17 13:31:16 [8720] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXct2-0002GM-4T
2011-06-17 13:31:24 [8773] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXctA-0002HT-6A
2011-06-17 13:31:25 [8782] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXct9-0002Gy-Ga
2011-06-17 13:31:26 [8823] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXctC-0002HU-JU
2011-06-17 13:31:35 [8949] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXctL-0002Jp-1J
2011-06-17 13:31:51 [9165] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcta-0002Nd-IA
2011-06-17 13:31:52 [9175] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcrt-0002Ad-IN
2011-06-17 13:31:54 [9211] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXctd-0002OP-VC
2011-06-17 13:31:56 [10264] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXctg-0002fV-O9
2011-06-17 13:32:01 [10327] cwd=/home/activawe 7 args: /usr/sbin/sendmail -FCronDaemon -i -odi -oem -oi -t
2011-06-17 13:32:01 [10343] cwd=/var/spool/exim 4 args: /usr/sbin/exim -odi -Mc 1QXctl-0002gZ-C2
2011-06-17 13:32:11 [10411] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXctp-0002hJ-BB
2011-06-17 13:32:23 [10494] cwd=/etc/csf 2 args: /usr/sbin/exim -bpc
2011-06-17 13:32:31 [10543] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcuE-0002jg-BK
2011-06-17 13:32:44 [10643] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcuS-0002lb-Hm
2011-06-17 13:33:01 [10746] cwd=/home/activawe 7 args: /usr/sbin/sendmail -FCronDaemon -i -odi -oem -oi -t
2011-06-17 13:33:01 [10774] cwd=/var/spool/exim 4 args: /usr/sbin/exim -odi -Mc 1QXcuj-0002nK-Gq
2011-06-17 13:33:04 [10784] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcum-0002nC-Bv
2011-06-17 13:33:19 [10849] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcuz-0002ol-Au
2011-06-17 13:33:31 [10908] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcvC-0002pn-4B
2011-06-17 13:33:36 [10944] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcvI-0002qD-52
2011-06-17 13:33:51 [11012] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcvV-0002rX-T9
2011-06-17 13:34:00 [11052] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcvd-0002rr-4x
2011-06-17 13:34:01 [11077] cwd=/home/activawe 7 args: /usr/sbin/sendmail -FCronDaemon -i -odi -oem -oi -t
2011-06-17 13:34:01 [11089] cwd=/var/spool/exim 4 args: /usr/sbin/exim -odi -Mc 1QXcvh-0002sf-3D
2011-06-17 13:34:05 [11151] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcvk-0002tm-CB
2011-06-17 13:34:17 [11216] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcvx-0002ue-8C
2011-06-17 13:34:21 [11240] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcw1-0002ut-GR
2011-06-17 13:34:30 [12303] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcw9-0003CO-RQ
2011-06-17 13:34:31 [12310] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcwB-0003CV-9e
2011-06-17 13:34:32 [12316] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcwB-0003Ca-SK
2011-06-17 13:34:33 [12331] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcwD-0003Cq-GD
2011-06-17 13:34:56 [12450] cwd=/home/activawe/public_html 3 args: /usr/sbin/sendmail -t -i
2011-06-17 13:34:56 [12453] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcwa-0003Eo-Hl
2011-06-17 13:35:00 [12476] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcwd-0003Ey-N0
2011-06-17 13:35:01 [12505] cwd=/home/activawe 7 args: /usr/sbin/sendmail -FCronDaemon -i -odi -oem -oi -t
2011-06-17 13:35:01 [12526] cwd=/var/spool/exim 4 args: /usr/sbin/exim -odi -Mc 1QXcwf-0003Fh-9B
2011-06-17 13:35:12 [12589] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcwl-0003GM-AR
2011-06-17 13:35:12 [12595] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcwq-0003H1-EG
2011-06-17 13:35:18 [12646] cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1QXcww-0003Hu-DL

Porque tantos registros se listaron, que significa ?

 

CODE, HTML o PHP Insertado:

grep "cwd=" /var/log/exim_mainlog | awk '{print $4}' | cut -d '=' -f 2 | sort | uniq -c | sort -n

eso te va a listar las carpetas q mandan mails desde tu server y cuantos mandaron al momento de correr el comando, esto funciona para atrapar scripts dentro de tu server.

Ten en cuenta que como activaste el logueo extendido hace poco capaz no hay mucha informacion.

 

Hola corri el comando,

Mira esto me sale:
1 /bin
1 /home/dominio/public_html
1 /home/dominio/public_html
1 /root
2 /home/dominio/public_html
2 /home/dominio/public_html/planta-aquadelis
2 /home/dominio/public_html
2 /home/dominio/public_html/Simapro
2 /home/dominio/public_html
3 /home/dominio/public_html/pes2011
3 /home/dominio/public_html/compra-online
3 /home/dominio/public_html/formulario
5 /home/dominio/public_html/blog
18 /home/dominio/public_html/blog
100 /
411 /etc/csf
729 /usr/local/cpanel/whostmgr/docroot
1379 /home/diminio
10209 /var/spool/exim


Que significan los numero al lado Izquiero, es la cantidad de mail enviados ?