cy5 Apprentice
Joined: 12 Jan 2005 Posts: 235 Location: David, Chiriqui, Panama, Centro America
|
Posted: Tue Jun 27, 2006 5:14 pm Post subject: Interpretacion de logs (Virus Found) |
|
|
ok en mi sistema esta corriendo Postfix, SpamAssassin, ClamAV. ok todo funciona bien, por lo menos eso es lo que me indica desde hace un par de semanas que a los usuarios le salen una infinita cantidad de mensajes donde se indica que el clamd paro un correo por que tenia virus.
Mensaje que le sale a los usuarios mas de 10 veces al dia
Code: |
You email to (webmaster@Domain.COM.PA) with subject ( Androw) was rejected because
of virus.
Virus found: Worm.Bagle.pwd-eml FOUND |
aqui me dice que se encontro un virus y que fue rechazado acausa de un virus? pero por que le llega esto a los usuarios ? estara configurado asi en los archivos de configuracion de Clam, logicamente quiero que se dispare una alerta pero que solo le llege al administrador... se puede configurar de esta manera?.
Bien por otro lado al saber que hay un virus en alguna pc de la red el objetivo es encontrarala y desinfectarla pero como son 123 pcs ir una a una es mucho tiempo... lo optimo seria que en los logs de el antivirus o en los logs de everything me dijera quien envia dichos mensajes para saber que usuarios estan infectados. Bien me voy a logs y estos me dicen lo siguiente:
Code: |
Jun 27 10:45:53 [clamd] /var/spool/filter/in.12617.20060627104553: [b]Worm.Bagle.pwd-eml FOUND[/b]_
Jun 27 10:45:53 [postfix/virus-filter] message-id=<mrtboywnmldjafybmxn@dominio.com.pa> reject: VIRUS from=<lbrown@dominio.com.pa> to=<>
spamd[437]: [spamd] connection from localhost [127.0.0.1] at port 35572_
spamd[437]: [spamd] setuid to clamav succeeded_
spamd[437]: [spamd] processing message (unknown) for clamav:101_
spamd[437]: [mkdir /dev/null] El fichero existe at /usr/lib/perl5/vendor_perl/5.8.5/Mail/SpamAssassin.pm line 1467_
spamd[437]: [locker] safe_lock: cannot create tmp lockfile /dev/null/.spamassassin/auto-whitelist.lock.ns1.fertica.com.pa.437 for /dev/null/.spamassassin/auto-whitelist.lock: No es un directorio_
|
viendo esto me dice que clamd encontro el susodicho virus, luego me pone un usuario encriptado me imagino y que fue rechazado. En este momento le llega el mensaje al usuario (el que vimos mas arriba). La otra parte me habla en ruso....
Pero no veo que me indique de donde proviene el mensaje, que es lo que me gustaria saber, a menos que sea el usuario que se especifica luego de la clausula reject: Virus from:
No se si alguien me ayuda a interpretar esto. .
Gracias[/b] |
|