Problemas de spam en mi servidor de gigas
A continuación te mostramos unas premisas para que puedas solventar el problema que puedes tener en tu servidor sobre spamm y asociados.
Si en el aviso que te ha llegado por ticket localizas el texto “X-PHP-Originating-Script:” lo más probable es que un sitio web de esa máquina esté comprometido por lo que hay que localizar el script que está lanzando spam y quitarlo de la ruta actual o eliminarlo, después de hacer esto se debe corregir el problema en el actualizando el CMS, los plugins o corrigiendo el código de del sitio web.
En este caso de ejemplo lo que aparece después de los 2 puntos es el nombre del script que está enviando el correo:
"X-PHP-Originating-Script: 33:brwy.php" por lo que:
- Buscamos brwy.php desde la linea de comandos
root@hostname:~# find / -name *brwy.php*
/var/www/dominio/wp-content/uploads/brwy.php
- Una vez localizado el fichero creamos el directorio “/root/INFECTED_FILES/”:
root@hostname:~# mkdir /root/INFECTED_FILES/
- Movemos el fichero detectado a ese directorio
root@hostname:~# mv /var/www/dominio/wp-content/uploads/brwy.php /root/INFECTED_FILES/
- Procedemos a eliminar la cola de correo y a comprobar si la cola de correo sigue creciendo, si no lo hace, ahora mismo se ha dejado de enviar spam. La tarea de eliminar la cola de correo se puede hacer de diferentes formas en función del MTA(servicio de correo) que se esté utilizando, los más comunes son postfix, qmail y exim. En internet existe mucha información al respecto.
- Como hemos comentado más arriba debes actualizar el CMS (wordpress, joomla, etc) y sus plugins o corregir los fallos en el código para que esto no vuelva a suceder.
Si por el contrario en el mensaje de aviso aparece algo similar a esto “X-Mailer: Microsoft Office Outlook” quiere decir que probablemente la clave sea demasiado débil y la hayan “adivinado” o que el ordenador desde donde se conecta a ese correo, se debe cambiar la clave del correo que aparece en el mensaje de aviso y revisar el ordenador desde el que se conecta a este correo ya que puede tener algún tipo de virus.