OJO si tu server firma los correos salientes (dkim) te aconsejo cheques las Black List para descartar que el incidente no te vaya costar mas trabajo.
Muchos usuarios que tienen websites y usan tu server como relay, es posible tambien que les hayan metido un PHP que se ejecuta manualmente, igual por otro servidor infectado, es una forma simple para evitar usar cron y levantar sospechas.
Saludos !
El 4 de mayo de 2015, 17:10, David González Romero dgrvedado@gmail.com escribió:
Puedes ser muchas cosas, en primera el mensaje como llego ? via correo,
via
log o donde ?
Es claro que todo entró por SMTP. Aunque yo me doy cuanto al hacer un mailq y ver que tengo 49000 mensajes encola.
Que un servidor este comprometido no quiere decir que corrar alguna herramienta de deteccion de rootkits y te diga "He, si fuiste
comprometido". También es claro otro de los lugares que busque con mucho detenimiento fueron todos los archivos de cron.d/ cron.dayli/ etc.... De la misma forma corri un AV propietario en su version trial para asegurarme por si ClamAV está comprometido.
Sin embargo todas mis sospechas recaían en el servidor de correo y al asegurarme que no es OPEN RALAY, dirigí mi mirada a los usuarios. Y ahí entonces encontré que mis sospechas eran confirmadas.
Ahora estoy a la búsqueda una herramienta que cada cierto tiempo exija al usuario cambiar la contraseña. De esta forma me aseguro de una renovación contante de esta variable tan vulnerable.
Saludos, David _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es