Attached email from "WhatsApp Messaging Service"
Hoy me he dado cuenta de que mi servidor de correo estaba enviando correo spam en una cantidad impresionante (había como correo no entregado "Mail Delivery System" casi 3Gb - tres gigabits - desde el día 28 de febrero) y todos con un adjunto que simulaba el envío de un mensaje de voz de WhatsApp con este texto: "Attached email from "WhatsApp Messaging Service".
Yo utilizo como servidor de correo Postfix y lo administro con Webmin. Pongo un ejemplo concreto de uno de los correos spam:
Mail headers View all headers | View raw message
From
To
Date 05/03/2014 16:15
Subject Undelivered Mail Returned to Sender
Message contents
This is the mail system at host ksxxxx.kimsufi.com.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
521-46.105.123.120 blocked by ldap:ou=rblmx,dc=att,dc=net 521 Error -
Blocked for abuse. Contact abuse_
Failed delivery status
Final recipient
Reason for failure delivery temporarily suspended: host
Reporting mail server ksxxxxx.kimsufi.com
Attachment name Attachment type File size
Attached email from "WhatsApp Messaging Service" Email message 4.27 kB
Esta es la imagen:
Lo que nos dice el mensaje del sistema de correo del servidor es que "Lamento tener que informarle de que su mensaje no pudo
ser entregado a uno o más destinatarios", la causa es que el servidor de correo destinatario lo ha rechazado por considerarlo spam.
Viendo el email rechazado desde el "mailbox" del usuario poco podemos averiguar, pero si indagamos más en las otras opciones de Postfix y nos vamos a la cola de mensajes "Mail Queue"
Y abrimos uno viendo sus cabeceras "View all headers":
Observamos mucha más información:
Mail headers
Received from localhost (localhost [127.0.0.1]) by ksxxxx.kimsufi.com (Postfix) with ESMTP id 00002405B96 for < Wed, 5 Mar 2014 06:12:11 +0100 (CET)
X-Virus-Scanned amavisd-new at camerweb.es
Received from ksxxxx.kimsufi.com ([127.0.0.1]) by localhost (ksxxxx.kimsufi.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id jSCrAZC7DQEQ for < Wed, 5 Mar 2014 06:12:06 +0100 (CET)
Received by ksxxxxx.kimsufi.com (Postfix, from userid 48) id C896E405BF2; Wed, 5 Mar 2014 06:11:55 +0100 (CET)
To ;
Subject 3 New Voicemail(s)
X-PHP-Originating-Script 505:kayuwvf.php
From "WhatsApp Messaging Service" <
X-Mailer MailMagic2.3
Reply-To "WhatsApp Messaging Service" <
Mime-Version 1.0
Content-Type multipart/alternative;boundary="----------13939963155316B21B50DDE"
Message-Id <
Date Wed, 5 Mar 2014 06:11:55 +0100 (CET)
En particular el script que ha originado el correo "X-PHP-Originating-Script"
Con detalle: X-PHP-Originating-Script 505:kayuwvf.php . Es decir que debemos buscar un archivo llamado kayuwvf.php, si hacemos un locate desde la consola nos da el siguiente resultado:
[@ksxxxxx /]# locate kayuwvf.php
/home/waveolas/public_html/kayuwvf.php
Si abrimos este archivo veremos que contiene una gran cantidad de código {HEX}base64.inject . A continuación dejo el archivo kayuwvf.php en formato de texto (.txt) por si alguien lo quiere mirar.
Sólo nos queda borrar el archivo, reiniciar Apache si tenéis algún servicio de caché, hacer un updatedb, e iniciar Postfix para comprobar que no seguimos emitiendo correo spam.
Haciendo una búsqueda en Google por kayuwvf.php parece que este "Bicho" no es muy conocido, sólo aparece un resultado y no relacionado con algún tipo de malware.
