Hola David:Lo tuyo es una infección el cual según leí se aplica cada cierto tiempo, tuve un problema similar hace mucho y bueno te ayudo en algo, antes necesitas ubicar algunas cosas: Ubicar al usuario o equipo que este mandando el SPAM (no me refiero físicamente)En el servidor mira la salida e ingreso de correos con : tail -f /var/log/maillogFácilmente notaras el correo SPAM ya que te fijaras de lineas repetidasSi ubicaste el usuario hay dos cosas por hacer y lo mas común es que dovecot este infectado y lo mas rápido haz una copia de los correos del usuario pero de esta carpeta (/home/user/Maildir/cur) del CUR.Elimina al usuario, verifica con el tail -f /var/log/maillog si persiste la salidaSi es así entonces la infección se fue al directorio /var/spool/postfixAhora allí es cuestión de volver a ubicar a ese usuario ya que se quedo la infección de forma automática y lo ubicas así :find /var/spool/postfix -name user -print o bien locate userubicas y borras reinicias servicios y lamentablemente para que te borren de las listas RBL tienes que esperar mas de 24 horasEspero te ayude estimado. Saludos. Luis Román
y no tienes un IDS en tu red? un snort te puede ayudar a descubrir o tcpdump y mirar quien ocupa el puerto 25.
Saludos
El 27 de marzo de 2015, 10:56, Luis Alberto Roman Aguirre < luisroman80@hotmail.com> escribió:
Hola David:Lo tuyo es una infección el cual según leí se aplica cada cierto tiempo, tuve un problema similar hace mucho y bueno te ayudo en algo, antes necesitas ubicar algunas cosas: Ubicar al usuario o equipo que este mandando el SPAM (no me refiero físicamente)En el servidor mira la salida e ingreso de correos con : tail -f /var/log/maillogFácilmente notaras el correo SPAM ya que te fijaras de lineas repetidasSi ubicaste el usuario hay dos cosas por hacer y lo mas común es que dovecot este infectado y lo mas rápido haz una copia de los correos del usuario pero de esta carpeta (/home/user/Maildir/cur) del CUR.Elimina al usuario, verifica con el tail -f /var/log/maillog si persiste la salidaSi es así entonces la infección se fue al directorio /var/spool/postfixAhora allí es cuestión de volver a ubicar a ese usuario ya que se quedo la infección de forma automática y lo ubicas así :find /var/spool/postfix -name user -print o bien locate userubicas y borras reinicias servicios y lamentablemente para que te borren de las listas RBL tienes que esperar mas de 24 horasEspero te ayude estimado. Saludos. Luis Román
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
Luis Alberto Roman Aguirre -
Pablo Alberto Flores