OJO si tu server firma los correos salientes (dkim) te aconsejo cheques las Black List para descartar que el incidente no te vaya costar mas trabajo.
Muchos usuarios que tienen websites y usan tu server como relay, es posible tambien que les hayan metido un PHP que se ejecuta manualmente, igual por otro servidor infectado, es una forma simple para evitar usar cron y levantar sospechas. Saludos ! El 4 de mayo de 2015, 17:10, David González Romero <dgrved...@gmail.com> escribió: > > Puedes ser muchas cosas, en primera el mensaje como llego ? via correo, > via > > log o donde ? > Es claro que todo entró por SMTP. Aunque yo me doy cuanto al hacer un > mailq y ver que tengo 49000 mensajes encola. > > > Que un servidor este comprometido no quiere decir que corrar alguna > > herramienta de deteccion de rootkits y te diga "He, si fuiste > comprometido". > También es claro otro de los lugares que busque con mucho detenimiento > fueron todos los archivos de cron.d/ cron.dayli/ etc.... De la misma > forma corri un AV propietario en su version trial para asegurarme por > si ClamAV está comprometido. > > Sin embargo todas mis sospechas recaían en el servidor de correo y al > asegurarme que no es OPEN RALAY, dirigí mi mirada a los usuarios. Y > ahí entonces encontré que mis sospechas eran confirmadas. > > Ahora estoy a la búsqueda una herramienta que cada cierto tiempo exija > al usuario cambiar la contraseña. De esta forma me aseguro de una > renovación contante de esta variable tan vulnerable. > > Saludos, > David > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
