Blog

En las últimas horas aparecen una serie de correos electrónicos devueltos que supuestamente se han enviado desde nuestro dominio. Los correos han sido enviados desde www-data por lo seguramente han aprovechado una vulnerabilidad de una aplicación web para incorporar el servidor a una red zombie de envío de spam. Mediante una serie de comandos conectados por tuberías se obtiene un listado con las direcciones IP que más visitas han realizado a nuestro servidor web, obteniendo el siguiente resultado:

• GoogleBot
• GoogleBot
• Crawl Yahoo!
• MSNBot
• IP de un país extraño
• Red Corporativa de la Junta de Andalucía

Resulta extraño tener tantas visitas desde este país así que investigando mediante el comando
grep IP_de_un_pais_extraño access.log observamos que se tratan de peticiones POST a un blog que no se encuentra actualizado a la última versión. Una vulnerabilidad permitía incrustar código malicioso en el blog y mediante peticiones POST desde la IP extraña, enviar spam a través de nuestro servidor.