On 13/12/16 07:00, Ernesto Pérez Estévez wrote:
En mi caso cuando lo he tenido lo he logrado controlar a través del uso de iptables, pero te cuento luego porque no es tan fácil.
Si el problema ocurre DESDE tu servidor, posiblemente debes buscar la opción de bloquear el acceso a los scripts al puerto 25/tcp saliente.
Esto es en caso de que tus aplicaciones web corran bajo otro usuario que no sea root. Ejemplo: si cada sitio virtual corre bajo un UID diferente, entonces puedes aplicar reglas de iptables para que, excepto tu servidor de smtp y el usuario root, nadie más pueda acceder al puerto 25/tcp saliente.
iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner postfix -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailman -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
Claro, con esto no encontrarás al script malicioso, simplemente le bloquearás cualquier intento. Quizá debas usar LOG para guardar los intentos fallidos y tratar de encontrar el uid que está haciendo el intento.