Aqui os dejo este video de ENJUTO MOJAMUTO (es la risa) relacionado con el spam, phising y demas variantes de la estafa por internet.
Saber el top de dominios que envia mas emails en un servidor (Plesk + QMail)
Siempre es útil conocer quienes son los clientes y dominios que dentro de un servidor envian más email y quienes pueden abusar los recursos. Por eso os voy a copypastear los scripts que me encontre en el blog personal de oscar montero:
Por ejemplo para saber el top de dominios que más envia emails en un servidor (con qmail y plesk) puedes usar:
grep user /usr/local/psa/var/log/maillog | grep LOGIN | cut -c50-140 | cut -d, -f 2 | cut -d@ -f 2 |sort|uniq -c|sort -nk 1
Otra forma sería esta:
Continuar leyendo «Saber el top de dominios que envia mas emails en un servidor (Plesk + QMail)»
Encontrar scripts spammers en el servidor
Cuando el script del spammer es un script realizado en php, el problema que tenemos para localizarlo es que el usuario será apache (a no ser que el servidor use su_exec o similares) y será más dificultoso encontrarlo ya que no puede ser identificado con el nombre de usuario del dominio.
Si se usa Plesk hay dos procedimientos estándares creando wrappers de Sendmail y que suelen funcionar. El propio Plesk lo describe en estos dos artículos:
http://kb.parallels.com/article_22_1711_en.html
http://kb.parallels.com/en/766
Podemos dejar el wrapper funcionando durante algún día para intentar localizar al spammer. Adicionalmente podemos dejar un cron que dispare un fichero con greps del tipo:
grep X-Additional /var/tmp/mail.send | grep `cat /etc/psa/psa.conf | grep HTTPD_VHOSTS_D | sed -e ’s/HTTPD_VHOSTS_D//’ ` | awk ‘{print $2}’ | awk ‘BEGIN {FS=”|”} {print $1}’ | sort|uniq -c | sort -rn
y que nos envié por email los resultados del wrapper.
Una vez conocido el directorio o fichero desde donde se envía el spam, tendremos que comprobar en los logs como se ha logrado el acceso para subir el citado fichero. Normalmente suele haber aplicaciones php muy antiguas que no han sido actualizadas a versiones nuevas. Tendremos que advertir al propietario del sitio que actualice sus aplicaciones, cambie sus claves, revise todos los ficheros e incluso suba un backup anterior. Habrá que eliminar los ficheros maliciosos y colocar restricciones más fuertes al dominio creando un fichero .htaccess o en el propio /conf/vhosts.conf del dominio.
Tales restricciones podrían ser:
php_flag register_globals off
php_flag allow_url_fopen off
php_flag file_uploads off
php_flag magic_quotes_gpc on
php_flag safe_mode on
php_flag disable_functions show_source
php_flag disable_functions system
php_flag disable_functions shell_exec
php_flag disable_functions passthru
php_flag disable_functions exec
php_flag disable_functions phpinfo
php_flag disable_functions popen
php_flag disable_functions proc_open
Adicionalmente habría que revisar los directorios temporales /tmp para comprobar que no hay scripts con usuario apache que estén enviando spam.
Igualmente siempre es utilizar las reglas actualizadas de mod_security para prevenir ataques comunes vía web (el 95% de los ataques son vía web) y herramientas de deteción de intrusos como OSSEC, y Atomic Secure Linux
Sería recomendable añadir a iptables las ips de las maquinas que realizaron el ataque, aunque el atacante atacará desde otras ips sin complicaciones. Incluso puede ser interesante bloquear rangos de ips de forma momentanea si hay un ataque en progreso.
Como borrarse de una lista negra
Es una tarea habitual en los proveedores de alojamiento web encontrarnos con ips de clientes que se insertan en listas negras. Las razones pueden ser variadas:
a) Un cliente en un servidor compartido o dedicado realiza un envío masivo de emails y alguien legítimamente o nó lo denuncia en una de las páginas que manejan estas listas negras.
b) Un spammer utiliza scripts de envío ilegítimos y realiza envíos masivos desde su dominio habiéndose aprovechado de alguna vulnerabilidad en el mismo dominio (aplicaciones php inseguras, mal programadas..etc.)
C) Su ordenador local tiene algún virus o troyano y está siendo utilizado para enviar emails y realizar diversas actividades maliciosas.
El resultado es que la IP del servidor de correo saliente es prohibida en alguna lista y los proveedores de internet y otros proveedores de internet que usan servicio de listas negras para su propio filtrado, no podrán recibir su correo, este será eliminado y filtrado directamente antes de llegar a su destinatario. El cliente que envía el correo recibirá normalmente un mensaje devuelto indicando que su email no ha podido ser entregado debido a que su IP (la del servidor de correo saliente o o la de su conexión adsl) se encuentra en alguna lista negra.
¿Qué podemos hacer?
1) Primero necesitamos comprobar que efectivamente la ip está listada.
Para comprobarlo podemos ir a esta URL http://www.mxtoolbox.com/blacklists.aspx?AG=GBL ó http://www.us.sorbs.net/lookup.shtml o directamente a la listas más importante como
http://www.spamcop.net/bl.shtml o http://www.spamhaus.org/lookup.lasso e introducir la IP de nuestro dominio y también, para salir de dudas, de nuestra IP local de conexión ADSL.
Si está listado podemos solicitar la baja de esa lista en esas webs citadas. El deslistado puede tardar 24-48 horas. El caso más grave es estar listado en Hotmail. En este caso hay que escribir a Hotmail directamente para solicitar el deslitado en el formulario http://www.hotmail.msn.com/cgi-bin/dasp/ua_info.asp?pg=contact_hotmail&_lang=ES.
En el caso de estar listados por telefónica es necesario contactarles vía email en nemesys@telefonica.es
En cualquier caso antes de contactarles es necesario asegurarse que el envío de spam ha cesado y que hemos encontrado al responsable del envío del correo. En la mayoría de casos, un script en php o perl que ha sido subido desde la web aprovechándose de una vulnerabilidad de sus aplicaciones y scripts.
2) Si la Ip listada es de nuestra conexión y nuestra IP es fija, entonces deberíamos realizar comprobar que en nuestros PCs no existen virus y no hay troyanos u otros bots que estén usando nuestra conexión para enviar spam.
3) Si la ip es del servidor, es el proveedor web el que debe de deslistar esa IP y averiguar quien ha sido el responsable del envío tomando las medidas necesarias para que no se vuelva a repetir ese tipo de abuso.
Fuente: http://blog.digitalvalley.com
Bloquear visitas procedentes de un sitio web (Referrer Block)
Suele pasar a veces que hay links de spammers hacia tu web que no has puesto tu o vienen de sitios webs de sospechosa procedencia y no nos interesan esas visitas. Pueden ser sitios de spam, foros de spammers, sitios porno, o simplemente webs de las que no quieres recibir visitantes.
Para bloquear los visitantes procedentes de estos sitios webs, es necesario agregar unas pocas líneas en tu archivo .Htaccess
# spam_ref variable definida SetEnvIfNoCase Referer "^ http:// (www.)? Refferer.com Sitio" spam_ref = 1 SetEnvIfNoCase Referer "^ http:// (www.)? Otra-site.com" spam_ref = 1 SetEnvIfNoCase Referer "^ palabra-incluido-en-dirección-url" spam_ref = 1 # bloquear todo el conjunto en spam_ref <FilesMatch "(.*)"> Orden allow, deny Dejar de todas las Deny from env = spam_ref </ FilesMatch>
«#»Añadido delante de las líneas. Htaccess, cancelar la línea. Digamos que una línea informativa.
SetEnvIfNoCase Referer "^ palabra-incluido-en-dirección-url" spam_ref = 1
Esto bloquea la línea de todos los sitios que contengan la URL, pon tu palabra, por ejemplo:
SetEnvIfNoCase Referer "^ adulto" spam_ref = 1
La línea anterior bloquear todos los sitios que contengan referencia «adulto»En la URL. adult123.com, adult.ro, 210391adult.net.
Esta es otra forma de bloquear SPAM en formularios, foros, comentarios …