El jueves (20/09/2018) fue hackeada la cuenta de adiaz (suponemos que por ingeniería social o pishing). Desde ese día la dicha cuenta estuvo mandando correos indiscriminados de spam a otros servidores por lo que nos bajaron la reputación del dominio.
Alejandro se encargo de cambiarle la contraseña para evitar que los hackers siguieran enviando correos. Hago referencia al bug 3223 No funciona correo Alejandro también se encargo de sacarnos de las listas negras Yo me encargue de vaciar la cola de correos a enviar (quedaban unos 12.000 correos spam en la cola de correos a enviar!) ### Para borrar todos los mensajes de la cola => # postsuper -d ALL ### Para borrar UN MENSAJE # postsuper -d ID_DEL_MENSAJE ### Para ver los mensajes en la cola... # mailq El problema es que en la cola también habían mensajes de usuarios REALES importantes, por lo que use un PIPE para borrar solamente los mensajes en la cola de enviar que fueran de adiaz # mailq | grep adiaz | sed 's/\(...........\).*/\1/g' | xargs -n1 postsuper -d
una vez que estuvo estabilizada los rebotes (a los 2/3 días) se restauro el estado del correo de adiaz al estado PREVIO a que los hackers entraran en la cuenta. ssh root@naso ## naso tiene los respaldos de mails. cd root@naso:/mnt/fenf/vmail/.zfs/snapshot ## voy a las snapshots set adiaz=vmail1/fenf.edu.uy/a/d/i/adiaz-2011.08.05.12.44.13/Maildir/ # ls auto-20180925.0434-3m/$adiaz/new | wc 48673 48673 2754541 # ls auto-20180924.0434-3m/$adiaz/new | wc 14124 14124 800353 # ls auto-20180924.0434-3m/$adiaz/new | wc 14124 14124 800353 # ls auto-20180923.0434-3m/$adiaz/new | wc 12050 12050 682916 # ls auto-20180922.0434-3m/$adiaz/new | wc 9639 9639 546184 # ls auto-20180921.0434-3m/$adiaz/new | wc 1036 1036 58620 # ls auto-20180920.0434-3m/$adiaz/new | wc 254 254 14354 # ls auto-20180919.0434-3m/$adiaz/new | wc 5 5 283 # ls auto-20180918.0434-3m/$adiaz/new | wc 0 0 0 Se visualiza que el snapshot del día 18 a las 4AM no tiene correos nuevos. Sin embargo el en snapshot del día 19 a las 4AM se visualizan correos que fueron enviados en el correr del día 18 y que rebotaron en la cuenta (5 al menos). Date: Tue, 18 Sep 2018 11:44:08 -0400 From: "Woodworking Plans & Projects" <Support@tedsww.us> Reply-To: "Woodworking Resources" <Support@tedsww.us> Subject: Get A Lifetime Of Project Ideas & Inspiration! Date: Tue, 18 Sep 2018 08:19:12 -0400 From: "Treats Psoriasis" <Contact@toefungudnail.bid> Reply-To: "Amazing Cure for Psoriasis" <Support@toefungudnail.bid> Date: Tue, 18 Sep 2018 05:36:21 -0400 From: "Tinnitus Secrets" <Info@daibetesdaily.bid> Reply-To: "Tinnitus Secrets" <Support@daibetesdaily.bid> Subject: A Permanent Cure For Tinnitus Devised By An Expert BUENO... El snapshot en mejores condiciones es el "auto-20180918.0434-3m" Por lo que restauro todos los mensajes a la cuenta de ADIAZ en esa fecha, borrando todos los rebotes y respuestas desde que la cuenta fue tomada por los hackers ! # rsync del snapshot viejo!!!! (restauro el estado de sus mails al 2018/09/18) rsync -avzrXx --delete auto-20180918.0434-3m/vmail1/fenf.edu.uy/a/d/i/adiaz-2011.08.05.12.44.13/ vmail@mail.fenf.edu.uy:/var/vmail/vmail1/fenf.edu.uy/a/d/i/adiaz-2011.08.05.12.44.13/ LISTO!!! Tema cerrado ; falta que pida contraseña nueva! (se atenderá por correo...)