Servidor Zimbra comprometido - como investigar

2

Temos um servidor de e-mail zimbra e uma das contas de e-mail foi comprometida. O problema que temos agora é que muitos spams são enviados daquele servidor e não conseguimos identificar qual conta está comprometida.

No mailq só podemos ver o do email, mas este é um endereço de email falso.

Existe uma maneira de identificar o verdadeiro usuário de autenticação que está enviando esses e-mails?

    
por Milos 25.04.2018 / 10:12

2 respostas

1

Você pode enviar logs para remetentes como

grep sasl_username /var/log/maillog

ou use este script para mostrar estatísticas agregadas

#!/usr/bin/python2
from __future__ import print_function

import re
re_sasl = re.compile(r'sasl_username=(.*)\s*')

senders = {}

for line in open('/var/log/maillog'):
    m = re_sasl.search(line.strip())
    if m:
        username = m.group(1)
        if username in senders:
            senders[username] += 1
        else:
            senders[username] = 1

print("Top senders:")
for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True):
    print("\t{0:5d} {1}".format(count, username))
    
por 25.04.2018 / 11:13
0

Por favor, use este comando para obter detalhes da conta de compromisso

cat zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -n 
    
por 13.11.2018 / 09:35