[MASOCH-L] Grande quantidade de SPAM partindo do AS28271 AS52893

[Roberto Lima]

Aproveitando a dica do sr. Danton, muito boa por sinal, recomendo também
rodar algum antivirus para detectar keyloggers e malwares em geral, pois
geralmente alguem pode abrir um email enviado em forma de phishing e muitos
deles sendo keyloggers,  acabam usando as senhas dos emails mesmo sem
quebra-las pra usar como spam.

Em 25 de outubro de 2012 16:14, Danton Nunes
<danton.nunes at inexo.com.br>escreveu:

> On Thu, 25 Oct 2012, Bruno Menoli wrote:
>
>  O IP de um dos meus servidores caiu em blacklist na SPAMHAUS /CBL, ao
>> consultar meu IP na CBL recebi essa informação:
>>
>> You need to:
>>
>> # Identify which user[s] have had their account broken into. To find the
>> user, examine your mail logs looking for connections and email submissions
>> from the IP address "177.47.99.11". This could be as much as several weeks
>> ago.
>> # Disable those users or change their passwords.
>> # Purge your outbound mail server queues of all email from these users.
>> You could have many thousands.
>>
>
> acho que essa informação é bem auto explicativa, para quem lê inglês,
> obviamente. provavelmente uma ou mais senhas de email foram quebradas e
> estão sendo usadas pelo 177.47.99.11 para transformar teu servidor em relay.
>
> enquanto localiza essas contas quebradas (/var/log/secure é um bom lugar
> para começar) bloqueie esse cara completamente.
>
> recomendo também usar algum mecanismo para identificar tentativas de
> quebra de senha. elas são caracterizadas por um bom número de erros de
> senha em protocolos como pop, imap e mesmo smtp, que normalmente acabam no
> /var/log/maillog. eu uso o fail2ban para bloquear qualquer um que tenha
> mais de cinco tentativas frustradas de login em qualquer desses serviços.
>
> -- Danton
>
> __
> masoch-l list
> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>