The Planet Forums > HOW-TO: Buscando al spammer "Nobody"

Full Version: HOW-TO: Buscando al spammer "Nobody"

The Planet Forums > General > Foro en Español / Spanish Forum > COMO-HACERLOs / HOWTOs en Español

red77

Nov 4 2005, 04:22 PM

Actualizado Febrero 12 de 2009

Probado en Plesk+Qmail en Ensim+Sendmail no logro arrancarlo y dicen que en Cpanel+Exim funciona perfecto.

Cuantas veces quisiéramos saber quien esta enviando spam atraves de scripts php o cgi en nuestro server o que sitios estan comprometidos y los usan los spammers para sus cometidos. Si ud mira en su php.ini la funcion mail realiza un llamado directo a /usr/bin/sendmail esto es lo que pretendemos monitorear.

Este sencillo script crea un archivo log donde se almacena la actividad registrada por sendmail. Sirve tambien en caso de que nuestro servidor este comprometido en sus archivos temporales /tmp o /var/tmp o cualquier otro. La idea es intercambiar el binario de sendmail por este sript de perl y monitorear en /var/log/formmail.log toda al actividad de envio de correo.

Instalación y configuración.
1) Paramos qmail
service qmail stop
2) Hacemos Backup
mv /usr/sbin/sendmail /usr/sbin/sendmail.act
3) Crea el script de perl que reemplazara a /usr/sbin/sendmail
nano -w sendmail
4) Le asignanos permisos de ejecución
chmod +x /usr/sbin/sendmail
5) Creamos el archivo de salida (El Log)
echo > /var/log/formmail.log
6) Le damos permisos al log
chmod 777 /var/log/formmail.log
7) Ya esta A hacer pruebas y a mirar el log.

-----------------------------

CODE

#!/usr/bin/perl

# use strict;
use Env;
my $date = `date`;
chomp $date;
open (INFO, ">>/var/log/formmail.log") || die "Failed to open file ::$!";
my $uid = $>;
my @info = getpwuid($uid);
if($REMOTE_ADDR) {
print INFO "$date - $REMOTE_ADDR ran $SCRIPT_NAME at $SERVER_NAME \n";
}
else {

print INFO "$date - $PWD - @info\n";

}
my $mailprog = '/var/qmail/bin/sendmail';
foreach (@ARGV) {
$arg="$arg" . " $_";
}

open (MAIL,"|$mailprog $arg") || die "cannot open $mailprog: $!\n";
while (<STDIN> ) {
print MAIL;
}
close (INFO);
close (MAIL);

--------------------------------

Mas información: http://www.webhostingtalk.com/showthread.p...threadid=258294

ideasmultiples

Nov 9 2005, 09:58 AM

PLESK no usa sendmail, por el resto es un buena idea, pero hay que tener en cuenta que puede afectar seriamente cuendo hagas alguna actualización del sistema.

red77

Nov 9 2005, 02:40 PM

Ok ...Gracias IdeasMultiples Hay que tenerlo encuenta al actualizar....
Bueno saben uds de alguna solucion de este tipo para los sendmail+ensim?
Intente hacerlo pero como lo dije en el post inicial al modificar /usr/sbin/sendmail al reiniciar sendmail no funciono...no generar error se queda pegado..

Angel

Jan 27 2007, 03:20 PM

QUOTE (red77 @ Nov 9 2005, 09:40 PM)

Yo lo he hecho en un ensim 4.0.1 sin ningún problema y siguiendo las instrucciones, con una salvedad. No he tenido ni que rearrancar el sendmail. Enseguida se ven los programas que están utilizando los espameros.
Sólo hay que cambiar una línea en el fichero, la que apunta al perl, que para nosotros es /usr/bin/perl
no la que dice el fichero /usr/local/bin/perl
puede que sea por esto que no te funciona

Pablus

May 30 2007, 05:22 PM

Hola, yo tengo ese acrhivo montado pero es muy grande, tiene información de meses atrás, cuando logro llegar a la fecha actual, ya es muy tarde, por eso, no me ha servido mucho. Qué hago para verlo más pequeño y actual.

Gracias

red77

Nov 7 2008, 04:52 PM

Ojo .... se realizaron modificaciones a la versión original

This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.