Como encontrar a fonte de spam de email de uma conta do cPanel?

0

Estou executando um servidor WHM com o cPanel em um servidor centos. CENTOS 7.2 x86_64 kvm - admin WHM 58.0 (compilação 24) cPanel 58.0.24

Ocasionalmente, algumas contas do cPanel são invadidas e enviadas por e-mails de spam. Como devo encontrar a origem do problema e pará-lo?

    
por Wen 25.08.2016 / 17:31

1 resposta

1

Se você tem contas que estão sendo invadidas para enviar spam, presumo que elas tenham algum tipo de script de spam instalado em seu sistema.

Antes de começar : eu comprei o Scanner ConfigServer eXploit há dois anos, ele verifica arquivos no servidor e me ajudou a identificar alguns scripts de spam antes que eles pudessem ser usados. Você também pode querer procurar esse programa se tiver esse problema.

Se esse for realmente o caso, este guia é bastante útil para resolver o problema. Isso me ajudou a encontrar arquivos que estão enviando grandes quantidades de mensagens algumas vezes.

Tudo se resume ao seguinte:

1. Execute o seguinte comando. Ele fornece uma lista de diretórios dos quais os emails foram enviados. Isso procura seu exim_mainlog (localizado em /var/log/exim_mainlog por padrão). Se o spam foi enviado há muito tempo, é possível que o arquivo de log tenha sido rotacionado desde então e você não conseguirá localizar os diretórios usando este comando. Tente encontrar o arquivo de log antigo e execute o primeiro comando grep nesse lugar.

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

2. Vá para os diretórios retornados pelo comando acima e inspecione os arquivos lá. Na minha experiência, a maioria desses scripts de spam usa nomes de arquivos bastante óbvios, mas não prejudicará a inspeção de arquivos que você não tenha certeza.

3. Inspecione o log de acesso do Apache para descobrir quem está chamando o script, este comando lista todos os IPs que acessaram o arquivo em frequência crescente.

grep "<scriptname>" /home/<username>/access-logs/<domain>.<tld> | awk '{print $1}' | sort -n | uniq -c | sort -n

4. Também é possível que o comando seja executado usando um cron job. Use este comando para inspecionar as tarefas agendadas dos usuários.

crontab -l -u <username>

5. Tome as medidas adequadas

Você pode optar por suspender a conta, bloquear endereços IP que acessaram o script ou remover o conteúdo. Faça o que você acha que é a melhor solução para você.

    
por 14.12.2016 / 14:42