Como localizar scripts realizando spam em servidores com WHM/cPanel

Como localizar scripts realizando spam em servidores com WHM/cPanel

Neste guia vamos ensinar como usar os logs do Exim em seu VPS/Cloud ou servidor dedicadopara encontrar possíveis tentativas de spammers a usar scripts para envio de e-mails não solicitados, a fim de retransmitir o spam de seu servidor.

Como é que o spam são enviados do meu servidor?

Você pode ter um recurso de "informar a um amigo", um sistema de alerta ou campo para recebimento de newsletter em seu site. Se você não tiver cuidado, por vezes, estes podem ser explorados por bots para fins de spam. Isso pode prejudicar a reputação de envio de seu endereço de IP, e levar a problemas, como fazer você acabar em uma blacklist.

Como faço para parar o spam vindo do meu servidor?

Exim, ou o MTA (Mail Transfer Agent) em seu servidor lida com as entregas de e-mail. Toda a atividade de e-mail é registrada incluindo e-mails enviados a partir de scripts. Ele faz isso registrando a pasta a partir de onde o script foi executado.

Usando esse conhecimento, você pode facilmente rastrear um script que está sendo exploradapara enviar spam, ou localizar os scripts possivelmente maliciosos que um spammer tenha colocado no seu servidor.

Localize os Scripts com envio de e-mail no Exim

Nos passos abaixo vamos mostrar como localizar os scripts em seu servidor de envio de e-mail. Sedesconfiar de qualquer script, você pode verificar os logs de acesso do Apache para encontrarcomo um spammer pode estar usando seus scripts para enviar spam.

Para seguir os passos abaixo você precisa de acesso root ao servidor, para que você tenha acesso ao log mail do Exim.

Passo 1 - Acesse o servidor via SSH como usuário root.

Passo 2 - Execute o seguinte comando para verificar os scripts mais utilizados para envio de e-mails nos logs do Exim:

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

Você deve receber de volta algo como isto:

15 /home/userna5/public_html/about-us
25 /home/userna5/public_html
7866 /home/userna5/public_html/data

Podemos ver que /home/userna5/public_html/data de longe tem mais envios do que quaisquer outros.

Passo 3 - Agora podemos executar o seguinte comando para ver os scripts que estão localizadosno diretório:

ls -lahtr /userna5/public_html/data

Neste caso recebemos de volta:

drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../
-rw-r--r-- 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./

Como podemos ver, há um script chamado mailer.php neste diretório.

Passo 4 - Sabendo o script mailer.php estava enviando e-mail pelo Exim, podemos agora dar uma olhada no log de acesso Apache para ver os endereços IP que estão acessando este script usando o seguinte comando:

grep "mailer.php" /home/userna5/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort -n

Você deve receber de volta algo semelhante a isto:

2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
7860 123.123.123.123

Podemos ver que o endereço IP 123.123.123.123 está usando o script mailer em uma naturezamal-intencionada.

Passo 5 - Se você encontrar um endereço IP malicioso com envio de um grande volume de e-mailsa partir de um script, você deve bloquea-lo no firewall do servidor para que ele não possa tentar se conectar novamente. Ou se preferir poderá remover o script por completo.
  • 1 Utilizadores acharam útil
Esta resposta foi útil?

Artigos Relacionados

Servidor DNS/Email

Hotmail, Spam, Servidores e SPF   Você sabe o que é um registro...

Instalação Ioncube

Instalando Ioncube Loader O IonCube Loader é uma ferramenta de criptografia/descriptografia...

funcao-include-include-once-require-e-require-once

E qual é a função de cada uma?Tudo depende do que você espera, pois a funcionalidade é a mesma,...

dpkg: comando não encontrado” no CentOS

Instalar o epel usando o seguinte comando: sudo yum -y install epel-release Refresh no...