Clicky

Localizar archivo .php con malware emitiendo correo spam

email spam

Attached email from "WhatsApp Messaging Service"

Hoy me he dado cuenta de que mi servidor de correo estaba enviando correo spam en una cantidad impresionante (había como correo no entregado "Mail Delivery System" casi 3Gb - tres gigabits - desde el día 28 de febrero) y todos con un adjunto que simulaba el envío de un mensaje de voz de WhatsApp con este texto: "Attached email from "WhatsApp Messaging Service".

Yo utilizo como servidor de correo Postfix y lo administro con Webmin. Pongo un ejemplo concreto de uno de los correos spam:

Mail headers    View all headers | View raw message
From    Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. (Mail Delivery System)
To Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Date     05/03/2014 16:15
Subject     Undelivered Mail Returned to Sender
Message contents    

This is the mail system at host ksxxxx.kimsufi.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;: delivery temporarily suspended: host
    gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
    521-46.105.123.120 blocked by ldap:ou=rblmx,dc=att,dc=net 521 Error -
    Blocked for abuse. Contact Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

Failed delivery status
Final recipient    Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Reason for failure     delivery temporarily suspended: host
Reporting mail server     ksxxxxx.kimsufi.com

Attachment name        Attachment type        File size        
Attached email from "WhatsApp Messaging Service"     Email message     4.27 kB

Esta es la imagen:

postfix email con spam

Lo que nos dice el mensaje del sistema de correo del servidor es que "Lamento tener que informarle de que su mensaje no pudo
ser entregado a uno o más destinatarios", la causa es que el servidor de correo destinatario lo ha rechazado por considerarlo spam.

Viendo el email rechazado desde el "mailbox" del usuario poco podemos averiguar, pero si indagamos más en las otras opciones de Postfix y nos vamos a la cola de mensajes "Mail Queue"

postfix cola de mensajes

Y abrimos uno viendo sus cabeceras "View all headers":

postfix cola de mensajes leer un correo

Observamos mucha más información:

Mail headers

Received     from localhost (localhost [127.0.0.1]) by ksxxxx.kimsufi.com (Postfix) with ESMTP id 00002405B96 for <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;; Wed, 5 Mar 2014 06:12:11 +0100 (CET)
X-Virus-Scanned     amavisd-new at camerweb.es
Received     from ksxxxx.kimsufi.com ([127.0.0.1]) by localhost (ksxxxx.kimsufi.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id jSCrAZC7DQEQ for <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;; Wed, 5 Mar 2014 06:12:06 +0100 (CET)
Received     by ksxxxxx.kimsufi.com (Postfix, from userid 48) id C896E405BF2; Wed, 5 Mar 2014 06:11:55 +0100 (CET)
To    ;Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Subject     3 New Voicemail(s)
X-PHP-Originating-Script     505:kayuwvf.php
From     "WhatsApp Messaging Service" <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;
X-Mailer     MailMagic2.3
Reply-To     "WhatsApp Messaging Service" <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;
Mime-Version     1.0
Content-Type     multipart/alternative;boundary="----------13939963155316B21B50DDE"
Message-Id    <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;
Date     Wed, 5 Mar 2014 06:11:55 +0100 (CET)

En particular el script que ha originado el correo "X-PHP-Originating-Script"

postfix cola de mensajes, headers

Con detalle: X-PHP-Originating-Script     505:kayuwvf.php . Es decir que debemos buscar un archivo llamado kayuwvf.php, si hacemos un locate desde la consola nos da el siguiente resultado:

[@ksxxxxx /]# locate kayuwvf.php
/home/waveolas/public_html/kayuwvf.php

Si abrimos este archivo veremos que contiene una gran cantidad de código {HEX}base64.inject . A continuación dejo el archivo kayuwvf.php en formato de texto (.txt) por si alguien lo quiere mirar.

Sólo nos queda borrar el archivo, reiniciar Apache si tenéis algún servicio de caché, hacer un updatedb, e iniciar Postfix para comprobar que no seguimos emitiendo correo spam.

Haciendo una búsqueda en Google por kayuwvf.php parece que este "Bicho" no es muy conocido, sólo aparece un resultado y no relacionado con algún tipo de malware.

Jesus_Caceres