Como localizar scripts realizando spam em servidores com WHM/cPanel Imprimer

  • Como localizar scripts realizando spam em servidores com WHM/cPa, spam cpanel, resolver problema de spam no cpanel, cpanel, spammer, cpanel spam
  • 0

Neste guia vamos ensinar como usar os logs do Exim em seu servidor para encontrar possíveis tentativas de spammers a usar scripts para envio de e-mails não solicitados, a fim de retransmitir o spam de seu servidor.

Como é que o spam são enviados do meu servidor?

Você pode ter um recurso de "informar a um amigo", um sistema de alerta ou campo para recebimento de newsletter em seu site. Se você não tiver cuidado, por vezes, estes podem ser explorados por bots para fins de spam. Isso pode prejudicar a reputação de envio deseu endereço de IP, e levar a problemas, como fazer você acabar em uma blacklist.

Como faço para parar o spam vindo do meu servidor?

Exim, ou o MTA (Mail Transfer Agent) em seu servidor lida com as entregas de e-mail. Toda a atividade de e-mail é registrada incluindo e-mails enviados a partir de scripts. Ele faz isso registrando a pasta a partir de onde o script foi executado.

Usando esse conhecimento, você pode facilmente rastrear um script que está sendo explorada para enviar spam, ou localizar os scripts possivelmente maliciosos que umspammer tenha colocado no seu servidor.

Localize os Scripts com envio de e-mail no Exim

Nos passos abaixo vamos mostrar como localizar os scripts em seu servidor de envio de e-mail. Se desconfiar de qualquer script, você pode verificar os logs de acesso do Apachepara encontrar como um spammer pode estar usando seus scripts para enviar spam.

Para seguir os passos abaixo você precisa de acesso root ao servidor, para que você tenhaacesso ao log mail do Exim.

Passo 1 - Acesse o servidor via SSH como usuário root.

Passo 2 - Execute o seguinte comando para verificar os scripts mais utilizados para envio de e-mails nos logs do Exim:

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

Você deve receber de volta algo como isto:

15 /home/userna5/public_html/about-us
25 /home/userna5/public_html
7866 /home/userna5/public_html/data

Podemos ver que /home/userna5/public_html/data de longe tem mais envios do quequaisquer outros.

Passo 3 - Agora podemos executar o seguinte comando para ver os scripts que estão localizados no diretório:

ls -lahtr /userna5/public_html/data

Neste caso recebemos de volta:

drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../
-rw-r--r-- 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./

Como podemos ver, há um script chamado mailer.php neste diretório.

Passo 4 - Sabendo o script mailer.php estava enviando e-mail pelo Exim, podemos agoradar uma olhada no log de acesso Apache para ver os endereços IP que estão acessandoeste script usando o seguinte comando:

grep "mailer.php" /home/userna5/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort -n

Você deve receber de volta algo semelhante a isto:

2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
7860 123.123.123.123

Podemos ver que o endereço IP 123.123.123.123 está usando o script mailer em uma natureza mal-intencionada.

Passo 5 - Se você encontrar um endereço IP malicioso com envio de um grande volume de e-mails a partir de um script, você deve bloquea-lo no firewall do servidor para que ele não possa tentar se conectar novamente. Ou se preferir poderá remover o script por completo.

Cette réponse était-elle pertinente?

« Retour