Debian Wheezy con Exim enviando spam

To: "debian-user-spanish@lists.debian.org" <debian-user-spanish@lists.debian.org>
Subject: Debian Wheezy con Exim enviando spam
From: Mauro Antivero <mauro.antivero@gmail.com>
Date: Tue, 6 Feb 2018 12:11:55 -0300
Message-id: <[🔎] 16a4064d-a39c-da85-4625-a1541ef8580b@gmail.com>

Estimados, actualmente tengo un servidor corriendo Debian 7 Wheezy conExim4 instalado para el envío de correos "internos", es decir unaconfiguración básica para que envíe notificaciones sobre el estado delRAID, unattended-upgrades y cosas por el estilo.

Resulta que este servidor está enviando spam masivamente y me estágenerando unos buenos dolores de cabeza... Vamos por partes, primero laconfiguración básica que siempre hago con "dpkg-reconfigure exim4-config":

General type of mail configuration: internet site; mail is sent andreceived directly using SMTP.

System mail name:     nombre-servidor.dominio
IP-addresses to listen on for incomming SMTP connections:    127.0.0.1
Other destinations for which mail is accepted:    nombre-servidor.dominio
Domains to relay mail for:    en blanco
Machines to relay mail for:       en blanco
Keep number of DNS-queries minimal (Dial-on-Demand)?:     No
Delivery method for local mail:       mbox format in /var/mail
Split configuration into small files?:    No

Lo primero que pensé es que por algún error en la configuración elservidor había quedado configurado como open relay, pero no fue así. Dehecho esto lo verifico con la siguiente página:


https://mxtoolbox.com/diagnostic.aspx

Y veo que tal como yo deseo el acceso SMTP al equipo está cerrado (soloescucha peticiones de localhost como se ve en la configuración de exim).Si hago "telnet <ip> 25" me rechaza la conexión.

Luego pensé, "hace rato que no lo actualizo (si ya sé, esto está mal,pero bueno, son cosas que pasan...), quizás se trate de un agujero deseguridad en exim o en algún otro paquete". Así que por supuesto hice:


apt-get update

apt-get -V upgrade (alguien más extraña aptitude???)

Pero nada, vaciaba la cola de exim y a los pocos minutos tenía cientos omiles de correos basura en espera de ser enviados...

Entonces sigo buscando y leyendo y caigo en que claro, puedo tener algúnscript alojado en el servidor que esté generando spam, pero cómo loencuentro? Pues bueno, buscando un poco en Google hay mucha informaciónal respecto, por ejemplo:


https://blog.twinbeeservers.com/email-sending-scripts-location/

https://www.servernoobs.com/check-spam-on-exim-mail-server/

https://www.inmotionhosting.com/support/email/exim/find-spam-script-location-with-exim

Como veran se trata basicamente (perdon, me anda mal la configuraciondel teclado y me dejaron de funcionar los acentos!!!) de utilizar elsiguiente "comandito", el cual esta muy bien explicado en las paginasanteriores:

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd="'{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

En mi caso los logs de exim estan en /var/log/exim4/mainlog, pero cuandoejecuto ese comando sobre este archivo no devuelve absolutamente nada...Lo que sucede es que en mis logs de exim no figura en nigun caso (paraninguna línea) el parametro "cwd" y por ende el comando anterior noarroja ningún resultado. Es por esto que recurro a ustedes a ver si mepueden auydar...

Tambien me fije de tener habilitada la opcion "mail.add_x_header = On"en el archivo php.ini (de hecho estaba habilitado por defecto) pero enla cabecera de los correos no me aparece el bendito "X-PHP-Script" ninada parecido como dicen aca que deberia de aparecer:


https://blog.twinbeeservers.com/email-sending-scripts-location/

https://forum.ivorde.com/find-php-scripts-that-use-mail-function-to-spam-in-your-linux-server-t19753.html

Les mando parte de una cabecera de ejemplo:

exim -Mvh 1ej3zv-0006VP-H0

1ej3zv-0006VP-H0-H
Debian-exim 102 104
<>
1517926403 0
-ident Debian-exim
-received_protocol local
-body_linecount 117
-max_received_linelength 249
-allow_unqualified_recipient
-allow_unqualified_sender
-frozen 1517926409
-localerror
XX
1
not@replay.com

151P Received: from Debian-exim by clouseau.cepanet.com.ar with local(Exim 4.80)

        id 1ej3zv-0006VP-H0
        for not@replay.com; Tue, 06 Feb 2018 11:13:23 -0300
037  X-Failed-Recipients: ivaal@online.no
029  Auto-Submitted: auto-replied
067F From: Mail Delivery System <Mailer-Daemon@clouseau.cepanet.com.ar>
019T To: not@replay.com
059  Subject: Mail delivery failed: returning message to sender
056I Message-Id: <E1ej3zv-0006VP-H0@clouseau.cepanet.com.ar>
038  Date: Tue, 06 Feb 2018 11:13:23 -0300

Como ven no aparece ninguna información del script desde el cual segenera el correo (cosa que en las páginas que referencié anteriormentesi aparece claramente).

Y entonces hasta aca llegue. Les agradeceria mucho si me pueden ayudarporque la verdad que de momento no se como avanzar. Por lo pronto lepaso mas informacion al respecto del servidor en donde se esta dandoeste problema:


uname -a

Linux clouseau 3.2.0-4-amd64 #1 SMP Debian 3.2.84-1 x86_64 GNU/Linux

apt-cache show exim4

Package: exim4
Version: 4.80-7+deb7u5

apt-cache show apache2

Package: apache2
Version: 2.2.22-13+deb7u12

Cualquier otra información que pueda ser relevante diganme y se lasfacilito, esto es lo que se me ocurre por ahora. Saludos y muchas gracias,


Mauro.

Reply to:

Prev by Date: Re: Corte de energia y DRBD
Next by Date: Re: pipe como variable en bash
Previous by thread: Re: Corte de energia y DRBD
Next by thread: problema con acentos
Index(es):
- Date
- Thread