Problema reenvios extraños

[ksgalicia]

Hola!

Estoy revisando una cuenta de correo que tiene un problema. Cuando recibe un email se le reenvía a una dirección no autorizada (que no está en la lista de reenviadores (Forwarders)) cuyo email es "[email protected]" y está en autentificación "forwarder" según la información de "Detalles de evento de entrega". ¿A qué es debido? Lleva así desde el día 04/10/2018.

Muchas gracias de antemano,

 

[cPanelLauren]

Hola @ksgalicia

Si tiene acceso a SSH, ¿puede decirme si hay alguna salida para el dominio en:

cat /etc/vfilters/domain.tld
cat /etc/valiases/domain.tld

¡Gracias!

=======================================================================

Hello @ksgalicia

If you have access to SSH can you please tell me if there is any output for the domain at:

cat /etc/vfilters/domain.tld
cat /etc/valiases/domain.tld

Thanks!

 

[ksgalicia]

He localizado el problema. Resulta que alguien adivinó la contraseña de la cuenta de email y creó un filtro, desde RoundCube (webmail), para redireccionar los emails a una dirección cada que lo recibe.

Ahora el filtro está eliminado y cambiada la contraseña de la cuenta de email.

 

[cPanelLauren]

¡Me alegra que hayas podido identificar la fuente del problema! Gracias por actualizar aquí también.

 

[Richsystem]

Presento el mismo problema con varias cuentas de correo

Event:	success
Sender User:	localuser
Sender Domain:	localdomain.cl
From Address:	[email protected]
Sender:	[email protected]
Sent Time:	May 7, 2020, 10:16:10 AM
Sender Host:	pc-ipremoved.cm.vtr.net
Sender IP:	IPREMOVED
Authentication:	dovecot_login
Spam Score:
Recipient:	[email protected]
Delivered To:	[email protected]
Delivery User:	-system-
Delivery Domain:
Router:	remoteserver_route
Transport:	mailchannels_smtp
Out Time:	May 7, 2020, 10:16:10 AM
ID:	1jWhK8-0001dF-Uo
Delivery Host:	smtp.mailchannels.net
Delivery IP:	44.231.82.223
Size:	72.04 KB
Result:	Accepted

No logro encontrar donde esta configurado ese reenvio, he buscado en los filtros y no existe tambien en

/etc/vfilters/
/etc/valiases/

El dominio mail.ru no esta listado en esas listas.

Alguna sugerencia?

 

[cPanelLauren]

can you show me the output of the following (just change your actual domain name and IP)

=======================================================================

¿puedes mostrarme el resultado de lo siguiente? (sólo cambia tu nombre de dominio y tu IP actual)

exigrep 1jWhK8-0001dF-Uo /var/log/exim_mainlog

 

[Richsystem]

Hola, logre solucionar el problema.

Si estaban unos filtros en Webmail que apuntaban a localhost los elimine y el reenvío dejo de suceder, muchas gracias por su respuesta.

 

[cPanelLauren]

I see, I am really happy that you were able to identify the issue and resolve it. Thank you for updating this thread as well.

=======================================================================

Ya veo, estoy muy contento de que haya podido identificar el problema y resolverlo. Gracias por actualizar este hilo también.

 

[Auges]

Tengo el mismo problema, un usuario tiene 2 cuentas de correo de dos dominios distintos que están en 2 servidores distintos (administro los dos) y en los dos ha aparecido una redirección a una cuenta desconocida de gmail. El usuario no tiene la contraseña de cpanel y las contraseñas de los 2 correos son distintas. Da la impresión de que tuviera algún script en su ordenador que provoca esto, pero no encuentro información de que esto pase
El reenvío ya lo he borrado, pero me preocupa como es posible que pase esto

 

[cPRex]

@Auges: ¿pudo verificar las áreas /etc/vfilters y /etc/valiases que mencionamos anteriormente en este hilo? ¿Ves los reenviadores creados allí?

********************************************************

@Auges - were you able to check the /etc/vfilters and /etc/valiases areas that we mention earlier in this thread? Do you see the forwarders created there?

 

[Auges]

@Auges: ¿pudo verificar las áreas /etc/vfilters y /etc/valiases que mencionamos anteriormente en este hilo? ¿Ves los reenviadores creados allí?

********************************************************

@Auges - were you able to check the /etc/vfilters and /etc/valiases areas that we mention earlier in this thread? Do you see the forwarders created there?

AL comprobarlo ahora vfilters está vacio y en valiases aparecen reenvíos correctos, pero es que ayer antes de nada desde cpanel borré el reenvío para evitar que información confidencial se enviara a una dirección desconocida.
Lo que no entiendo es como se puede establecer un reenvío de este tipo, tiene que ser una vulnerabilidad aprovechada desde un pc, pero el usuario cuyos direcciones están afectadas no tiene acceso al panel

 

[cPRex]

Si marca /home/username/.lastlogin, ¿ve alguna dirección IP en ese archivo con la que no esté familiarizado? Eso indicaría que la cuenta estuvo comprometida en algún momento.

******************************************************************************

If you check /home/username/.lastlogin, do you see any IP addresses in that file that you aren't familiar with? That would indicate the account was compromised at some point.

 

[JMGarcía]

A mi esto ya me ha pasado varias veces,... en diferentes servidores, diferentes proveedores y tanto en VPS que yo mismo administro como en algunas cuentas compartidas que también tengo con otros proveedores. La última vez ayer mismo en una de las cuenta que tengo en una cuenta cPanel Reseller.

En una de las ocasiones sospecho que esto sirvió para que interceptaran una factura de uno de mis clientes a uno de sus proveedores y lecambiaran la cta. bancaria que figuraba en la factura,... con lo cual el proveedor hizo el pago a esa cta. que en realidad es una cuenta de los estafadores,... cuenta que vacían en cuanto recibe el dinero,... con lo cual el cliente no recibe el dinero de su factura pero el proveedor ha pagado el importe,... aunque a unos estafadores,... esto en los juzgados tiene mala solución,... e incluso llegados el caso cliente y proveedor rompen relaciones comerciales,... con lo cual es un agravante más,... te roban y encima quedas mal con tu cliente/proveedor,...

En los últimos 4 años he visto esto 5 veces,... me refiero a lo de interceptar una factura, cambiarle la cta. y estafar al cliente,... no puedo afirmar que en todas las ocasiones se crearan antes redirecciones,... pero si puedo decir que todas esas cuentas usaban cPanel como panel de control,... ya que aparte de cPanel uso también Cyberpanel, DirectAdmin, Centos Web Panel, FstPanel y Vesta,... y nunca me ha pasado en esos paneles, siempre ha sido en cPanel.

Yo diría que esto debe ser alguna vulnerabilidad que tiene cPanel,... estoy seguro al 100% que en ningún caso eso viene por un PC infectado con algún virus o troyano,... y estos en concreto no tenían acceso a sus cuentas de cPanel,.. ya que a ninguno de ellos les proporcioné el acceso ya que no lo necesitaban,...

En /home/username/.lastlogin no hay ninguna ip extraña,... excepto la mía,... que es fija y de hecho soy el único que accede a esas cuentas,...

 

[cPRex]

Si cree que hay un problema de seguridad con el sistema, envíe un ticket a nuestro equipo de soporte para que podamos revisarlo.

************************************************

If you believe there is a security issue with the system, please submit a ticket to our support team so we can take a look.

 

[JMGarcía]

Me ha dicho mi proveedor de la cuenta Reseller implicada que el ya ha abierto un ticket a vuestro soporte,... por lo tanto esperaré a ver que me dice mi proveedor cuando obtenga una respuesta vuestra.

 

[Auges]

Si marca /home/username/.lastlogin, ¿ve alguna dirección IP en ese archivo con la que no esté familiarizado? Eso indicaría que la cuenta estuvo comprometida en algún momento.

******************************************************************************

If you check /home/username/.lastlogin, do you see any IP addresses in that file that you aren't familiar with? That would indicate the account was compromised at some point.

Buenos días

en lastlogin sólo hay 3 ips, dos son mías (casa y trabajo) y la tercera es del equipo de cpanel que le di acceso hace años para resolver una incidencia

 

[Auges]

A mi esto ya me ha pasado varias veces,... en diferentes servidores, diferentes proveedores y tanto en VPS que yo mismo administro como en algunas cuentas compartidas que también tengo con otros proveedores. La última vez ayer mismo en una de las cuenta que tengo en una cuenta cPanel Reseller.

En una de las ocasiones sospecho que esto sirvió para que interceptaran una factura de uno de mis clientes a uno de sus proveedores y lecambiaran la cta. bancaria que figuraba en la factura,... con lo cual el proveedor hizo el pago a esa cta. que en realidad es una cuenta de los estafadores,... cuenta que vacían en cuanto recibe el dinero,... con lo cual el cliente no recibe el dinero de su factura pero el proveedor ha pagado el importe,... aunque a unos estafadores,... esto en los juzgados tiene mala solución,... e incluso llegados el caso cliente y proveedor rompen relaciones comerciales,... con lo cual es un agravante más,... te roban y encima quedas mal con tu cliente/proveedor,...

En los últimos 4 años he visto esto 5 veces,... me refiero a lo de interceptar una factura, cambiarle la cta. y estafar al cliente,... no puedo afirmar que en todas las ocasiones se crearan antes redirecciones,... pero si puedo decir que todas esas cuentas usaban cPanel como panel de control,... ya que aparte de cPanel uso también Cyberpanel, DirectAdmin, Centos Web Panel, FstPanel y Vesta,... y nunca me ha pasado en esos paneles, siempre ha sido en cPanel.

Yo diría que esto debe ser alguna vulnerabilidad que tiene cPanel,... estoy seguro al 100% que en ningún caso eso viene por un PC infectado con algún virus o troyano,... y estos en concreto no tenían acceso a sus cuentas de cPanel,.. ya que a ninguno de ellos les proporcioné el acceso ya que no lo necesitaban,...

En /home/username/.lastlogin no hay ninguna ip extraña,... excepto la mía,... que es fija y de hecho soy el único que accede a esas cuentas,...

Hola, no descarto que haya una vulnerabilidad de cpanel, pero tiene que estar asociada de alguna forma al usuario o al equipo.
Como comentaba este usuario tiene 2 cuentas de correo de dos dominios distintos, en dos servidores distintos y esas 2 direcciones eran las que tenían el reenvío, a la misma dirección en los dos casos, esos dominios tienen otras direcciones y ninguna tenía configurado un reenviador así
Al no tener ese equipo, ni su usuario acceso al panel se me ocurre si puede ser que hay algún script que accede a traves de roundcube, (este usuario sólo gestiona el correo a través de outlook)

 

[cPRex]

¿Puede decirme el número de boleto, o no pudieron compartirlo?

****************************************************************

Can you let me know the ticket number, or were they not able to share that?

 

[JMGarcía]

Me dice el proveedor que por temas administrativos no puede darme el número de ticket. Si quieres puedo decirte por privado que proveedor es.

También te comento,... la primera vez borré esa redirección,... y cambié todas las contraseñas de todas las cuenta,... incluida la cuenta principal del reseller,... y a las 24 horas volvió a aparecer la misma redirección,...

No está asociada a ningún usuario o equipo,... en el log no aparece ningún rastro,... el usuario de esa cuenta no tiene los datos de acceso a la cuenta de cPanel y su equipo está limpio,... solo tengo acceso yo,... y mi equipo también está limpio,... bueno,... y al estar en una cuenta compartida también tiene acceso el proveedor,...

 

[cPRex]

Gracias por los detalles adicionales. Sería mejor continuar trabajando con el proveedor para obtener la mejor información.

*****************************************************

Thanks for the additional details. It would be best to continue to work with the provider for the best information.