Debian Wheezy con Exim enviando spam
Estimados, actualmente tengo un servidor corriendo Debian 7 Wheezy con
Exim4 instalado para el envío de correos "internos", es decir una
configuración básica para que envíe notificaciones sobre el estado del
RAID, unattended-upgrades y cosas por el estilo.
Resulta que este servidor está enviando spam masivamente y me está
generando unos buenos dolores de cabeza... Vamos por partes, primero la
configuración básica que siempre hago con "dpkg-reconfigure exim4-config":
General type of mail configuration: internet site; mail is sent and
received directly using SMTP.
System mail name: nombre-servidor.dominio
IP-addresses to listen on for incomming SMTP connections: 127.0.0.1
Other destinations for which mail is accepted: nombre-servidor.dominio
Domains to relay mail for: en blanco
Machines to relay mail for: en blanco
Keep number of DNS-queries minimal (Dial-on-Demand)?: No
Delivery method for local mail: mbox format in /var/mail
Split configuration into small files?: No
Lo primero que pensé es que por algún error en la configuración el
servidor había quedado configurado como open relay, pero no fue así. De
hecho esto lo verifico con la siguiente página:
https://mxtoolbox.com/diagnostic.aspx
Y veo que tal como yo deseo el acceso SMTP al equipo está cerrado (solo
escucha peticiones de localhost como se ve en la configuración de exim).
Si hago "telnet <ip> 25" me rechaza la conexión.
Luego pensé, "hace rato que no lo actualizo (si ya sé, esto está mal,
pero bueno, son cosas que pasan...), quizás se trate de un agujero de
seguridad en exim o en algún otro paquete". Así que por supuesto hice:
apt-get update
apt-get -V upgrade (alguien más extraña aptitude???)
Pero nada, vaciaba la cola de exim y a los pocos minutos tenía cientos o
miles de correos basura en espera de ser enviados...
Entonces sigo buscando y leyendo y caigo en que claro, puedo tener algún
script alojado en el servidor que esté generando spam, pero cómo lo
encuentro? Pues bueno, buscando un poco en Google hay mucha información
al respecto, por ejemplo:
https://blog.twinbeeservers.com/email-sending-scripts-location/
https://www.servernoobs.com/check-spam-on-exim-mail-server/
https://www.inmotionhosting.com/support/email/exim/find-spam-script-location-with-exim
Como veran se trata basicamente (perdon, me anda mal la configuracion
del teclado y me dejaron de funcionar los acentos!!!) de utilizar el
siguiente "comandito", el cual esta muy bien explicado en las paginas
anteriores:
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd="
'{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
En mi caso los logs de exim estan en /var/log/exim4/mainlog, pero cuando
ejecuto ese comando sobre este archivo no devuelve absolutamente nada...
Lo que sucede es que en mis logs de exim no figura en nigun caso (para
ninguna línea) el parametro "cwd" y por ende el comando anterior no
arroja ningún resultado. Es por esto que recurro a ustedes a ver si me
pueden auydar...
Tambien me fije de tener habilitada la opcion "mail.add_x_header = On"
en el archivo php.ini (de hecho estaba habilitado por defecto) pero en
la cabecera de los correos no me aparece el bendito "X-PHP-Script" ni
nada parecido como dicen aca que deberia de aparecer:
https://blog.twinbeeservers.com/email-sending-scripts-location/
https://forum.ivorde.com/find-php-scripts-that-use-mail-function-to-spam-in-your-linux-server-t19753.html
Les mando parte de una cabecera de ejemplo:
exim -Mvh 1ej3zv-0006VP-H0
1ej3zv-0006VP-H0-H
Debian-exim 102 104
<>
1517926403 0
-ident Debian-exim
-received_protocol local
-body_linecount 117
-max_received_linelength 249
-allow_unqualified_recipient
-allow_unqualified_sender
-frozen 1517926409
-localerror
XX
1
not@replay.com
151P Received: from Debian-exim by clouseau.cepanet.com.ar with local
(Exim 4.80)
id 1ej3zv-0006VP-H0
for not@replay.com; Tue, 06 Feb 2018 11:13:23 -0300
037 X-Failed-Recipients: ivaal@online.no
029 Auto-Submitted: auto-replied
067F From: Mail Delivery System <Mailer-Daemon@clouseau.cepanet.com.ar>
019T To: not@replay.com
059 Subject: Mail delivery failed: returning message to sender
056I Message-Id: <E1ej3zv-0006VP-H0@clouseau.cepanet.com.ar>
038 Date: Tue, 06 Feb 2018 11:13:23 -0300
Como ven no aparece ninguna información del script desde el cual se
genera el correo (cosa que en las páginas que referencié anteriormente
si aparece claramente).
Y entonces hasta aca llegue. Les agradeceria mucho si me pueden ayudar
porque la verdad que de momento no se como avanzar. Por lo pronto le
paso mas informacion al respecto del servidor en donde se esta dando
este problema:
uname -a
Linux clouseau 3.2.0-4-amd64 #1 SMP Debian 3.2.84-1 x86_64 GNU/Linux
apt-cache show exim4
Package: exim4
Version: 4.80-7+deb7u5
apt-cache show apache2
Package: apache2
Version: 2.2.22-13+deb7u12
Cualquier otra información que pueda ser relevante diganme y se las
facilito, esto es lo que se me ocurre por ahora. Saludos y muchas gracias,
Mauro.
Reply to: