Como encontrar a fonte de spam de email de uma conta do cPanel?

Question

Como encontrar a fonte de spam de email de uma conta do cPanel?

#1 resposta do (1 votos)

0

Estou executando um servidor WHM com o cPanel em um servidor centos. CENTOS 7.2 x86_64 kvm - admin WHM 58.0 (compilação 24) cPanel 58.0.24

Ocasionalmente, algumas contas do cPanel são invadidas e enviadas por e-mails de spam. Como devo encontrar a origem do problema e pará-lo?

email cpanel spam-prevention centos-7 whm

por Wen 25.08.2016 / 17:31

1 resposta



                    
                Tags
                                            email
                                            cpanel
                                            spam-prevention
                                            centos-7
                                            whm
                                    
            
        

         
                            Software para executar comandos do powershell na máquina remota
                                        Webserver por trás do roteador NAT inacessível

score 1 · Answer 1

Se você tem contas que estão sendo invadidas para enviar spam, presumo que elas tenham algum tipo de script de spam instalado em seu sistema.

Antes de começar : eu comprei o Scanner ConfigServer eXploit há dois anos, ele verifica arquivos no servidor e me ajudou a identificar alguns scripts de spam antes que eles pudessem ser usados. Você também pode querer procurar esse programa se tiver esse problema.

Se esse for realmente o caso, este guia é bastante útil para resolver o problema. Isso me ajudou a encontrar arquivos que estão enviando grandes quantidades de mensagens algumas vezes.

Tudo se resume ao seguinte:

1. Execute o seguinte comando. Ele fornece uma lista de diretórios dos quais os emails foram enviados. Isso procura seu exim_mainlog (localizado em /var/log/exim_mainlog por padrão). Se o spam foi enviado há muito tempo, é possível que o arquivo de log tenha sido rotacionado desde então e você não conseguirá localizar os diretórios usando este comando. Tente encontrar o arquivo de log antigo e execute o primeiro comando grep nesse lugar.

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

 

  2.  Vá para os diretórios retornados pelo comando acima e inspecione os arquivos lá. Na minha experiência, a maioria desses scripts de spam usa nomes de arquivos bastante óbvios, mas não prejudicará a inspeção de arquivos que você não tenha certeza. 

  3.  Inspecione o log de acesso do Apache para descobrir quem está chamando o script, este comando lista todos os IPs que acessaram o arquivo em frequência crescente. 

 grep "<scriptname>" /home/<username>/access-logs/<domain>.<tld> | awk '{print $1}' | sort -n | uniq -c | sort -n
 

  4.  Também é possível que o comando seja executado usando um cron job. Use este comando para inspecionar as tarefas agendadas dos usuários. 

 crontab -l -u <username>
 

  5.  Tome as medidas adequadas 

 Você pode optar por suspender a conta, bloquear endereços IP que acessaram o script ou remover o conteúdo. Faça o que você acha que é a melhor solução para você.