Mi servidor envia spam

    Tengo un servidor con la ultima version

    y los plugins

    ClamAV

    Provides ClamAV anti-virus through MILTER.

    Versión 1.3.0 (Build 2017070300)
    Por Laurent Declercq, Rene Schuster y Sascha Bay | Visitar el sito de plug-ins     		Activado

    Mailgraph

    Plugin that provides statistical graphics for SMTP traffic (Postfix and Sendmail).

    Versión 1.1.1 (Build N/D)
    Por Sascha Bay | Visitar el sito de plug-ins     		Activado

    OpenDKIM

    Provides DomainKeys Identified Mail (DKIM) service through MILTER.

    Versión 2.0.0 (Build 2017090800)
    Por Laurent Declercq, Sascha Bay y Rene Schuster | Visitar el sito de plug-ins     		Activado

    PolicydSPF

    Provides Simple Postfix policy server for RFC 4408/7208 SPF checking.

    Versión 1.2.0 (Build 2017070300)
    Por Laurent Declercq y Ninos Ego | Visitar el sito de plug-ins     		Activado

    Postgrey

    Provides a greylisting implementation for Postfix using Postgrey policy server.

    Versión 1.3.0 (Build 2018032000)
    Por Laurent Declercq | Visitar el sito de plug-ins     		Activado

    SpamAssassin

    Provides SpamAssassin spam filter through MILTER.

    Versión 2.0.1 (Build 2017070300)
    Por Laurent Declercq, Rene Schuster y Sascha Bay | Visitar el sito de plug-ins     		Activado

    solo tiene un dominio, el cual corre un joomla

    cada poco me dice ovh que envio spam, es cada pocas horas, el log me dice esto:


    Nov 19 06:25:37 vps602514 postfix/smtpd[30329]: connect from unknown[162.247.99.113]

    Nov 19 06:25:40 vps602514 postfix/smtpd[30329]: warning: unknown[162.247.99.113]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

    Nov 19 06:25:40 vps602514 postfix/smtpd[30329]: disconnect from unknown[162.247.99.113] helo=1 auth=0/1 quit=1 commands=2/3

    Nov 19 06:27:24 vps602514 postfix/smtpd[30609]: connect from unknown[24.51.95.89]

    Nov 19 06:27:27 vps602514 postfix/smtpd[30609]: warning: unknown[24.51.95.89]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

    Nov 19 06:27:27 vps602514 postfix/smtpd[30609]: disconnect from unknown[24.51.95.89] helo=1 auth=0/1 quit=1 commands=2/3

    Nov 19 06:28:14 vps602514 postfix/smtpd[30609]: warning: hostname no-reverse-dns-configured.com does not resolve to address 80.82.70.189

    Nov 19 06:28:14 vps602514 postfix/smtpd[30609]: connect from unknown[80.82.70.189]

    Nov 19 06:28:16 vps602514 postfix/smtpd[30609]: warning: unknown[80.82.70.189]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

    Nov 19 06:28:16 vps602514 postfix/smtpd[30609]: disconnect from unknown[80.82.70.189] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4

    Nov 19 06:29:02 vps602514 postfix/smtpd[30609]: connect from unknown[184.71.152.86]

    Nov 19 06:29:05 vps602514 postfix/smtpd[30609]: warning: unknown[184.71.152.86]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

    Nov 19 06:29:05 vps602514 postfix/smtpd[30609]: disconnect from unknown[184.71.152.86] helo=1 auth=0/1 quit=1 commands=2/3

    Nov 19 06:29:05 vps602514 postfix/smtpd[30614]: connect from unknown[45.125.65.123]

    Nov 19 06:29:07 vps602514 postfix/smtpd[30614]: warning: unknown[45.125.65.123]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

    Nov 19 06:29:07 vps602514 postfix/smtpd[30614]: lost connection after AUTH from unknown[45.125.65.123]

    Nov 19 06:29:07 vps602514 postfix/smtpd[30614]: disconnect from unknown[45.125.65.123] ehlo=1 auth=0/1 commands=1/2



    me dicen que si backscatter que si dovecot, llevo un mes intentando solucionarlo, lo he cambiado a tres server diferentes y se repite siempre, he probado con fail2ban, pero ya no se por donde tirar.



    Espero que alguien pueda ayudarme.

    Un saludo

    Te cuento lo que yo hago con servidor debian con postfix. (puede ser diferente en otro entorno).


    mailq -> te saldrán los mails que se están enviando.

    te coges uno de los ids (primeros números que te salgan).


    C914D21A00EB 20367 Mon Nov 19 10:48:04 ejemplo@dominio.com


    postcat -q C914D21A00EB


    Y ahi revisas cabeceras, seguramente tendrás un


    X-PHP-Originating-Script: ficheroqueenviaspam.php


    Tocará limpiar a mano.


    Si no ves el x-php-orginantin-script asegurate de tener bien configurado en el php.ini el mail.add_x_header = On


    PD: Actualiza joomla...un cms sin actualizar es de los peores agujeros que podrás tener.

    Si es tu joomla ... bastara con que le digas que no use la funcion php-mail en las propiedades del dominio.. de esta forma lo obligas a mandar los formularios por smpt con usuario y pass..., los post con funcion de envio de correo al php te los ventilas en un plumazo


    No reparas el problema ... pero evitas que envie spam hasta que en los logs averigues si es una o web o es un virus que saca la clave de un cliente y se autentifica en el sistema de correo.


    S2

    Fue lo primero que pensé, y la deshabilite hace tiempo, pero lo que me llama la atención es que sigue pasando, y limpio la web y me aparecen archivos php a cientos primero un comprimido y se el resultado de la descompresión

    Limpia la web y luego ponle como propietario root para que no se puedan subir ficheros ni modificar los existentes.


    Luego, si necesitas habilitar el directorio de subidas de imágenes deja solo ese con el propietario vuXXXX, e intenta deshabilitar mediante htaccess la ejecución de php dentro de ese directorio.


    Es la unica forma que se me ocurre de que una vez encontrado el fallo de seguridad en tu web, no te la sigan liando.


    Bueno...y convertir el joomla en wordpress... :-p