pinchaiconos.com

Si tenemos un host con Plesk, que por defecto tiene instalado Qmail y sospechamos que se está usando para hacer spam; en este artículo realizamos una serie de pasos para detectar y actuar sobre éste.

Miramos la cantidad de mensajes en la cola:

# /var/qmail/bin/qmail-qstat

messages in queue: 71373
messages in queue but not yet preprocessed: 0

Son demasiados... Vamos a ver en la cola, los remitentes y destinatarios

# /var/qmail/bin/qmail-qread |more

26 Dec 2013 21:42:44 GMT #1693697 3438 

Ahora buscamos uno de los emails sospechosos:

#find /var/qmail/queue/ -name 1693697

/var/qmail/queue/remote/0/1693697
/var/qmail/queue/mess/0/1693697
/var/qmail/queue/info/0/1693697

#less /var/qmail/queue/mess/0/1693697

Received: (qmail 27278 invoked by uid 502); 26 Dec 2013 21:42:44 +0100
Date: 26 Dec 2013 21:42:44 +0100
Message-ID: <20131226204244.27275.qmail@mihost.midominio.net>
To: xxxx@verizon.net
Subject: Scheduled Home Delivery Problem
X-PHP-Originating-Script: 502:sys09725848.php
From: "Costco Shipping Manager"
[...] 

Podemos ver que se utiliza el fichero sys09725848.php para el envío de spam.

# updatedb; locate sys09725848.php

/var/www/vhosts/host.dominio.com/httpdocs/components/com_joomlapack/sys09725848.php

Borrar o renombrar el fichero de envio (si se ha comprobado que es un fichero de upload de un spammer)

#rm /var/www/vhosts/host.dominio.com/httpdocs/components/com_joomlapack/sys09725848.php

Para borrar todos los mensajes de la cola (Utilizar con precaución - posible pérdida de datos):

/usr/local/psa/admin/bin/mailqueuemng -D

Comprobar que no se envían mas mensajes de spam

#tail -f /usr/local/psa/var/log/maillog

Actualizar la vesion del Joomla de manera urgente.