Localizar archivo .php con malware emitiendo correo spam

Modificado por última vez en Miércoles, 05 Marzo 2014 21:00
(0 votos)

email spam

Attached email from "WhatsApp Messaging Service"

Hoy me he dado cuenta de que mi servidor de correo estaba enviando correo spam en una cantidad impresionante (había como correo no entregado "Mail Delivery System" casi 3Gb - tres gigabits - desde el día 28 de febrero) y todos con un adjunto que simulaba el envío de un mensaje de voz de WhatsApp con este texto: "Attached email from "WhatsApp Messaging Service".

Yo utilizo como servidor de correo Postfix y lo administro con Webmin. Pongo un ejemplo concreto de uno de los correos spam:

Mail headers    View all headers | View raw message
From    Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. (Mail Delivery System)
To Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Date     05/03/2014 16:15
Subject     Undelivered Mail Returned to Sender
Message contents    

This is the mail system at host ksxxxx.kimsufi.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;: delivery temporarily suspended: host
    gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
    521-46.105.123.120 blocked by ldap:ou=rblmx,dc=att,dc=net 521 Error -
    Blocked for abuse. Contact Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

Failed delivery status
Final recipient    Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Reason for failure     delivery temporarily suspended: host
Reporting mail server     ksxxxxx.kimsufi.com

Attachment name        Attachment type        File size        
Attached email from "WhatsApp Messaging Service"     Email message     4.27 kB

Esta es la imagen:

postfix email con spam

Lo que nos dice el mensaje del sistema de correo del servidor es que "Lamento tener que informarle de que su mensaje no pudo
ser entregado a uno o más destinatarios", la causa es que el servidor de correo destinatario lo ha rechazado por considerarlo spam.

Viendo el email rechazado desde el "mailbox" del usuario poco podemos averiguar, pero si indagamos más en las otras opciones de Postfix y nos vamos a la cola de mensajes "Mail Queue"

postfix cola de mensajes

Y abrimos uno viendo sus cabeceras "View all headers":

postfix cola de mensajes leer un correo

Observamos mucha más información:

Mail headers

Received     from localhost (localhost [127.0.0.1]) by ksxxxx.kimsufi.com (Postfix) with ESMTP id 00002405B96 for <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;; Wed, 5 Mar 2014 06:12:11 +0100 (CET)
X-Virus-Scanned     amavisd-new at camerweb.es
Received     from ksxxxx.kimsufi.com ([127.0.0.1]) by localhost (ksxxxx.kimsufi.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id jSCrAZC7DQEQ for <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;; Wed, 5 Mar 2014 06:12:06 +0100 (CET)
Received     by ksxxxxx.kimsufi.com (Postfix, from userid 48) id C896E405BF2; Wed, 5 Mar 2014 06:11:55 +0100 (CET)
To    ;Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Subject     3 New Voicemail(s)
X-PHP-Originating-Script     505:kayuwvf.php
From     "WhatsApp Messaging Service" <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;
X-Mailer     MailMagic2.3
Reply-To     "WhatsApp Messaging Service" <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;
Mime-Version     1.0
Content-Type     multipart/alternative;boundary="----------13939963155316B21B50DDE"
Message-Id    <Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.>;
Date     Wed, 5 Mar 2014 06:11:55 +0100 (CET)

En particular el script que ha originado el correo "X-PHP-Originating-Script"

postfix cola de mensajes, headers

Con detalle: X-PHP-Originating-Script     505:kayuwvf.php . Es decir que debemos buscar un archivo llamado kayuwvf.php, si hacemos un locate desde la consola nos da el siguiente resultado:

[@ksxxxxx /]# locate kayuwvf.php
/home/waveolas/public_html/kayuwvf.php

Si abrimos este archivo veremos que contiene una gran cantidad de código {HEX}base64.inject . A continuación dejo el archivo kayuwvf.php en formato de texto (.txt) por si alguien lo quiere mirar.

Sólo nos queda borrar el archivo, reiniciar Apache si tenéis algún servicio de caché, hacer un updatedb, e iniciar Postfix para comprobar que no seguimos emitiendo correo spam.

Haciendo una búsqueda en Google por kayuwvf.php parece que este "Bicho" no es muy conocido, sólo aparece un resultado y no relacionado con algún tipo de malware.


Comentarios (0)

No hay comentarios escritos aquí

Deja tus comentarios

  1. Publicar comentario como invitado. Regístrate o ingresaa tu cuenta
Archivos adjuntos (0 / 3)
Compartir su ubicación
close

Recibe gratis nuestros nuevos artículos!

Serás el primero en conocer las novedades y noticias que pasan en Internet, nuestros tutoriales, trucos y más.

Escribe tu email:

Se abrirá una nueva ventana deFeedBurner a la izquierda de la página y habrás de validar un Captcha.

Lee nuestras Política de privacidad & Política de cookies
Puedes darte de baja de la lista de correo electrónico en cualquier momento