Se você tem contas que estão sendo invadidas para enviar spam, presumo que elas tenham algum tipo de script de spam instalado em seu sistema.
Antes de começar : eu comprei o Scanner ConfigServer eXploit há dois anos, ele verifica arquivos no servidor e me ajudou a identificar alguns scripts de spam antes que eles pudessem ser usados. Você também pode querer procurar esse programa se tiver esse problema.
Se esse for realmente o caso, este guia é bastante útil para resolver o problema. Isso me ajudou a encontrar arquivos que estão enviando grandes quantidades de mensagens algumas vezes.
Tudo se resume ao seguinte:
1. Execute o seguinte comando. Ele fornece uma lista de diretórios dos quais os emails foram enviados. Isso procura seu exim_mainlog
(localizado em /var/log/exim_mainlog
por padrão). Se o spam foi enviado há muito tempo, é possível que o arquivo de log tenha sido rotacionado desde então e você não conseguirá localizar os diretórios usando este comando. Tente encontrar o arquivo de log antigo e execute o primeiro comando grep
nesse lugar.
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
2. Vá para os diretórios retornados pelo comando acima e inspecione os arquivos lá. Na minha experiência, a maioria desses scripts de spam usa nomes de arquivos bastante óbvios, mas não prejudicará a inspeção de arquivos que você não tenha certeza.
3. Inspecione o log de acesso do Apache para descobrir quem está chamando o script, este comando lista todos os IPs que acessaram o arquivo em frequência crescente.
grep "<scriptname>" /home/<username>/access-logs/<domain>.<tld> | awk '{print $1}' | sort -n | uniq -c | sort -n
4. Também é possível que o comando seja executado usando um cron job. Use este comando para inspecionar as tarefas agendadas dos usuários.
crontab -l -u <username>
5. Tome as medidas adequadas
Você pode optar por suspender a conta, bloquear endereços IP que acessaram o script ou remover o conteúdo. Faça o que você acha que é a melhor solução para você.