Problema reenvios extraños

ksgalicia

• October 08, 2018 05:58

Hola! Estoy revisando una cuenta de correo que tiene un problema. Cuando recibe un email se le reenv"a a una direcci"n no autorizada (que no est" en la lista de reenviadores (Forwarders)) cuyo email es "forward2office8@gmail.com" y est" en autentificaci"n "forwarder" seg"n la informaci"n de "Detalles de evento de entrega". "A qu" es debido? Lleva as" desde el d"a 04/10/2018. Muchas gracias de antemano,

• 

  cPanelLauren

  • October 09, 2018 16:26

  Hola @ksgalicia Si tiene acceso a SSH, "puede decirme si hay alguna salida para el dominio en: cat /etc/vfilters/domain.tld cat /etc/valiases/domain.tld
  "Gracias! ======================================================================= Hello @ksgalicia If you have access to SSH can you please tell me if there is any output for the domain at: cat /etc/vfilters/domain.tld cat /etc/valiases/domain.tld
  Thanks!

  0
• 

  ksgalicia

  • October 11, 2018 11:07

  He localizado el problema. Resulta que alguien adivin" la contrase"a de la cuenta de email y cre" un filtro, desde RoundCube (webmail), para redireccionar los emails a una direcci"n cada que lo recibe. Ahora el filtro est" eliminado y cambiada la contrase"a de la cuenta de email.

  0
• 

  cPanelLauren

  • October 11, 2018 17:53

  "Me alegra que hayas podido identificar la fuente del problema! Gracias por actualizar aqu" tambi"n.

  0
• 

  Richsystem

  • May 07, 2020 14:20

  Presento el mismo problema con varias cuentas de correo

  Event:	success alt="success">https://server005.workserverdc.com:2087/cPanel_magic_revision_0/cjt/images/icons/success.png
  Sender User:	localuser
  Sender Domain:	localdomain.cl
  From Address:	secretaria@localdomian.cl
  Sender:	secretaria@localdomain.cl
  Sent Time:	May 7, 2020, 10:16:10 AM
  Sender Host:	pc-ipremoved.cm.vtr.net
  Sender IP:	IPREMOVED
  Authentication:	dovecot_login
  Spam Score:
  Recipient:	drepiso@localdomain.cl
  Delivered To:	forward2office8@mail.ru
  Delivery User:	-system-
  Delivery Domain:
  Router:	remoteserver_route
  Transport:	mailchannels_smtp
  Out Time:	May 7, 2020, 10:16:10 AM
  ID:	1jWhK8-0001dF-Uo
  Delivery Host:	smtp.mailchannels.net
  Delivery IP:	44.231.82.223
  Size:	72.04 KB
  Result:	Accepted

  No logro encontrar donde esta configurado ese reenvio, he buscado en los filtros y no existe tambien en /etc/vfilters/ /etc/valiases/ El dominio mail.ru no esta listado en esas listas. Alguna sugerencia?

  0
• 

  cPanelLauren

  • May 08, 2020 18:41

  can you show me the output of the following (just change your actual domain name and IP) ======================================================================= "puedes mostrarme el resultado de lo siguiente? (s"lo cambia tu nombre de dominio y tu IP actual) exigrep 1jWhK8-0001dF-Uo /var/log/exim_mainlog
  

  0
• 

  Richsystem

  • May 08, 2020 19:03

  Hola, logre solucionar el problema. Si estaban unos filtros en Webmail que apuntaban a localhost los elimine y el reenv"o dejo de suceder, muchas gracias por su respuesta.

  0
• 

  cPanelLauren

  • May 08, 2020 21:06

  I see, I am really happy that you were able to identify the issue and resolve it. Thank you for updating this thread as well. ======================================================================= Ya veo, estoy muy contento de que haya podido identificar el problema y resolverlo. Gracias por actualizar este hilo tambi"n.

  0
• 

  Auges

  • February 07, 2023 17:08

  Tengo el mismo problema, un usuario tiene 2 cuentas de correo de dos dominios distintos que est"n en 2 servidores distintos (administro los dos) y en los dos ha aparecido una redirecci"n a una cuenta desconocida de gmail. El usuario no tiene la contrase"a de cpanel y las contrase"as de los 2 correos son distintas. Da la impresi"n de que tuviera alg"n script en su ordenador que provoca esto, pero no encuentro informaci"n de que esto pase El reenv"o ya lo he borrado, pero me preocupa como es posible que pase esto

  0
• 

  cPRex Jurassic Moderator

  • February 07, 2023 18:08

  @Auges: "pudo verificar las "reas /etc/vfilters y /etc/valiases que mencionamos anteriormente en este hilo? "Ves los reenviadores creados all"? ******************************************************** @Auges - were you able to check the /etc/vfilters and /etc/valiases areas that we mention earlier in this thread? Do you see the forwarders created there?

  0
• 

  Auges

  • February 08, 2023 07:43

  @Auges: "pudo verificar las "reas /etc/vfilters y /etc/valiases que mencionamos anteriormente en este hilo? "Ves los reenviadores creados all"? ******************************************************** @Auges - were you able to check the /etc/vfilters and /etc/valiases areas that we mention earlier in this thread? Do you see the forwarders created there?

  
  AL comprobarlo ahora vfilters est" vacio y en valiases aparecen reenv"os correctos, pero es que ayer antes de nada desde cpanel borr" el reenv"o para evitar que informaci"n confidencial se enviara a una direcci"n desconocida. Lo que no entiendo es como se puede establecer un reenv"o de este tipo, tiene que ser una vulnerabilidad aprovechada desde un pc, pero el usuario cuyos direcciones est"n afectadas no tiene acceso al panel

  0
• 

  cPRex Jurassic Moderator

  • February 08, 2023 11:19

  Si marca /home/username/.lastlogin, "ve alguna direcci"n IP en ese archivo con la que no est" familiarizado? Eso indicar"a que la cuenta estuvo comprometida en alg"n momento. ****************************************************************************** If you check /home/username/.lastlogin, do you see any IP addresses in that file that you aren't familiar with? That would indicate the account was compromised at some point.

  0
• 

  JMGarcía

  • February 09, 2023 18:18

  A mi esto ya me ha pasado varias veces,... en diferentes servidores, diferentes proveedores y tanto en VPS que yo mismo administro como en algunas cuentas compartidas que tambi"n tengo con otros proveedores. La "ltima vez ayer mismo en una de las cuenta que tengo en una cuenta cPanel Reseller. En una de las ocasiones sospecho que esto sirvi" para que interceptaran una factura de uno de mis clientes a uno de sus proveedores y lecambiaran la cta. bancaria que figuraba en la factura,... con lo cual el proveedor hizo el pago a esa cta. que en realidad es una cuenta de los estafadores,... cuenta que vac"an en cuanto recibe el dinero,... con lo cual el cliente no recibe el dinero de su factura pero el proveedor ha pagado el importe,... aunque a unos estafadores,... esto en los juzgados tiene mala soluci"n,... e incluso llegados el caso cliente y proveedor rompen relaciones comerciales,... con lo cual es un agravante m"s,... te roban y encima quedas mal con tu cliente/proveedor,... En los "ltimos 4 a"os he visto esto 5 veces,... me refiero a lo de interceptar una factura, cambiarle la cta. y estafar al cliente,... no puedo afirmar que en todas las ocasiones se crearan antes redirecciones,... pero si puedo decir que todas esas cuentas usaban cPanel como panel de control,... ya que aparte de cPanel uso tambi"n Cyberpanel, DirectAdmin, Centos Web Panel, FstPanel y Vesta,... y nunca me ha pasado en esos paneles, siempre ha sido en cPanel. Yo dir"a que esto debe ser alguna vulnerabilidad que tiene cPanel,... estoy seguro al 100% que en ning"n caso eso viene por un PC infectado con alg"n virus o troyano,... y estos en concreto no ten"an acceso a sus cuentas de cPanel,.. ya que a ninguno de ellos les proporcion" el acceso ya que no lo necesitaban,... En /home/username/.lastlogin no hay ninguna ip extra"a,... excepto la m"a,... que es fija y de hecho soy el "nico que accede a esas cuentas,...

  0
• 

  cPRex Jurassic Moderator

  • February 09, 2023 18:39

  Si cree que hay un problema de seguridad con el sistema, env"e un ticket a nuestro equipo de soporte para que podamos revisarlo. ************************************************ If you believe there is a security issue with the system, please submit a ticket to our support team so we can take a look.

  0
• 

  JMGarcía

  • February 10, 2023 09:56

  Me ha dicho mi proveedor de la cuenta Reseller implicada que el ya ha abierto un ticket a vuestro soporte,... por lo tanto esperar" a ver que me dice mi proveedor cuando obtenga una respuesta vuestra.

  0
• 

  Auges

  • February 10, 2023 10:44

  Si marca /home/username/.lastlogin, "ve alguna direcci"n IP en ese archivo con la que no est" familiarizado? Eso indicar"a que la cuenta estuvo comprometida en alg"n momento. ****************************************************************************** If you check /home/username/.lastlogin, do you see any IP addresses in that file that you aren't familiar with? That would indicate the account was compromised at some point.

  
  Buenos d"as en lastlogin s"lo hay 3 ips, dos son m"as (casa y trabajo) y la tercera es del equipo de cpanel que le di acceso hace a"os para resolver una incidencia

  0
• 

  Auges

  • February 10, 2023 10:51

  [QUOTE="JMGarc"a, post: 2970501, member: 834731"> A mi esto ya me ha pasado varias veces,... en diferentes servidores, diferentes proveedores y tanto en VPS que yo mismo administro como en algunas cuentas compartidas que tambi"n tengo con otros proveedores. La "ltima vez ayer mismo en una de las cuenta que tengo en una cuenta cPanel Reseller. En una de las ocasiones sospecho que esto sirvi" para que interceptaran una factura de uno de mis clientes a uno de sus proveedores y lecambiaran la cta. bancaria que figuraba en la factura,... con lo cual el proveedor hizo el pago a esa cta. que en realidad es una cuenta de los estafadores,... cuenta que vac"an en cuanto recibe el dinero,... con lo cual el cliente no recibe el dinero de su factura pero el proveedor ha pagado el importe,... aunque a unos estafadores,... esto en los juzgados tiene mala soluci"n,... e incluso llegados el caso cliente y proveedor rompen relaciones comerciales,... con lo cual es un agravante m"s,... te roban y encima quedas mal con tu cliente/proveedor,... En los "ltimos 4 a"os he visto esto 5 veces,... me refiero a lo de interceptar una factura, cambiarle la cta. y estafar al cliente,... no puedo afirmar que en todas las ocasiones se crearan antes redirecciones,... pero si puedo decir que todas esas cuentas usaban cPanel como panel de control,... ya que aparte de cPanel uso tambi"n Cyberpanel, DirectAdmin, Centos Web Panel, FstPanel y Vesta,... y nunca me ha pasado en esos paneles, siempre ha sido en cPanel. Yo dir"a que esto debe ser alguna vulnerabilidad que tiene cPanel,... estoy seguro al 100% que en ning"n caso eso viene por un PC infectado con alg"n virus o troyano,... y estos en concreto no ten"an acceso a sus cuentas de cPanel,.. ya que a ninguno de ellos les proporcion" el acceso ya que no lo necesitaban,... En /home/username/.lastlogin no hay ninguna ip extra"a,... excepto la m"a,... que es fija y de hecho soy el "nico que accede a esas cuentas,...
  Hola, no descarto que haya una vulnerabilidad de cpanel, pero tiene que estar asociada de alguna forma al usuario o al equipo. Como comentaba este usuario tiene 2 cuentas de correo de dos dominios distintos, en dos servidores distintos y esas 2 direcciones eran las que ten"an el reenv"o, a la misma direcci"n en los dos casos, esos dominios tienen otras direcciones y ninguna ten"a configurado un reenviador as" Al no tener ese equipo, ni su usuario acceso al panel se me ocurre si puede ser que hay alg"n script que accede a traves de roundcube, (este usuario s"lo gestiona el correo a trav"s de outlook)

  0
• 

  cPRex Jurassic Moderator

  • February 10, 2023 16:44

  "Puede decirme el n"mero de boleto, o no pudieron compartirlo? **************************************************************** Can you let me know the ticket number, or were they not able to share that?

  0
• 

  JMGarcía

  • February 17, 2023 17:45

  Me dice el proveedor que por temas administrativos no puede darme el n"mero de ticket. Si quieres puedo decirte por privado que proveedor es. Tambi"n te comento,... la primera vez borr" esa redirecci"n,... y cambi" todas las contrase"as de todas las cuenta,... incluida la cuenta principal del reseller,... y a las 24 horas volvi" a aparecer la misma redirecci"n,... No est" asociada a ning"n usuario o equipo,... en el log no aparece ning"n rastro,... el usuario de esa cuenta no tiene los datos de acceso a la cuenta de cPanel y su equipo est" limpio,... solo tengo acceso yo,... y mi equipo tambi"n est" limpio,... bueno,... y al estar en una cuenta compartida tambi"n tiene acceso el proveedor,...

  0
• 

  cPRex Jurassic Moderator

  • February 17, 2023 18:20

  Gracias por los detalles adicionales. Ser"a mejor continuar trabajando con el proveedor para obtener la mejor informaci"n. ***************************************************** Thanks for the additional details. It would be best to continue to work with the provider for the best information.

  0
• 

  gmesa

  • September 02, 2023 22:21

  Gracias por los detalles adicionales. Ser"a mejor continuar trabajando con el proveedor para obtener la mejor informaci"n. ***************************************************** Thanks for the additional details. It would be best to continue to work with the provider for the best information.

  
  I have the same problem, I delete the filter and recreate the redirection on the same domain. It is always the same email address that they create as a redirection, and they have already modified the bank account in an email sent from my client to the provider's email and they have even recreated the html signature and it has resulted in paying a fairly high bill. I see that this same case is not isolated as has been mentioned in previous posts. Could you give me a hand? Thanks in advance.

  0
• 

  cPRex Jurassic Moderator

  • September 05, 2023 14:43

  @gmesa - that doesn't seem like the same issue. Could you start a new thread with all the details you have?

  0

Please sign in to leave a comment.