¡Se aprovechan de mi servidor dedicao! o me tienen engañao

O tal vez me equivoque ante el desconocimiento. La cuestión es que tengo contratado un servidor dedicado y se trata de un windows iis 6 2003 web edition, con hmailserver como servidor de correo y que tiene como antispam a través de un reley de otra empresa, vamos que no somos nosotros los que filtramos el antispam.

El tema es que hay un correo SPAM que llega a veces hasta 70 veces en dos días, a algunas cuentas (a otras que no se han inscrito por hay en internet, no).

Yo aprendiendo por ahí y por allá empezé a investigar a ver que tiene de especial ese spam que nos llega a algunos y si no me equivoco para saber que máquina la es la que ha gestionado el envío hay que mirar el Message-ID, para mi sorpresa veo que es el mismo que mi server dedicado, es decir que el que envía el email se está aprovechando de mi servidor de correo de algún modo? un hackeo? por webs? o es camuflado?


Os dejo abajo las cabeceras del email en sí, y si alguno sabéis algo me gustaría que me resolvierais esa pequeña duda que hasta me pica un poco:

Return-Path: <[email protected]>
Received: from [188.52.XX.XX] ([188.52.XX.XX]) by mail.miservidordedicado.com with hMailServer ;
Tue, 2 Feb 2010 08:56:27 +0100
Message-ID: <[email protected]>
From: "VIAGRA (c) Best E-store" <[email protected]>
To: [email protected]
Subject: User webmaster Unique 80% Sale
MIME-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
X-hMailServer-LoopCount: 1
X-EsetId: 430E7026EB3E2033164A



P.D. espero no haberme equivocado del foro, sino movedme y mil disculpas.

¿tienes en tu web alguna parte para subir archivos? tiene toda la pinta que te han hecho injeccion por algun error ahi y se estan aprovechando....

creo que hay un envío de correo con adjuntos a través de una web de contacto, por lo que sería lo mismo, verdad? mayormente son webs que tienen un apartado de contacto y en las que puedes enviar un email a la empresa a través de un formulario. Podría tirar el tema por ahí? como lo soluciono? la pregunta del millón, supongo que tendré que mirar como funciona el ijection, aunque a mí eso me suena a inyección de código, como en una base de datos, no? como es eso de ficheros?

Muchas gracias por responderme tio.

La inyeccion por subida de archivos se hace cuando permites subir archivos de cualquier extension, entonces lo que hacen es subirte un archivo .php y ahi es cuando estas jodido! En el caso de que sea esto, ve a la carpeta donde se alojan los archivos subidos y fijate si hay algun .php u otros sospechosos...

ostia, vot a buscar a ver!

jo, pos vaya problemón porque tengo que repasar unas 50 webs que no están hechas por mí y estoy viendo un cacao de ficheros por cada dominio. dios!

mmmmm, me imagino que tienes el dedicado como reseller no? quizas alguien que sepa mas de manejos de servidores dedicados te pudiera ayudar con algun metodo de saber que archivos .php estan usando la funcion mail() o algo asi..... monitorearlo de alguna forma.

pos la verdad es que con los que lo tenemos contratado pasan bastante de nosotros. :s

Pero seguro que tiene que haber alguna forma. Voy a intentar buscar por san google y si tengo algo cuento algo más del culebrón!