Como descobrir qual script no meu servidor está enviando e-mails de spam? [duplicado]

Navegue suas respostas
12

Meu servidor está enviando o e-mail de spam e não consigo descobrir qual script está enviando-o.

Os e-mails foram todos de nobody@myhost , portanto, foram desativados no cpanel e nobody não deveria ter permissão para enviar e-mails

Agora pelo menos eles não estão saindo, eu continuo recebendo eles. Esta é a mensagem que recebo: 

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  [email protected]
    Mail sent by user nobody being discarded due to sender restrictions in WHM->Tweak Settings

------ This is a copy of the message, including all the headers. ------

Return-path: <[email protected]>
Received: from nobody by cpanel.myserver.com with local (Exim 4.80)
        (envelope-from <[email protected]>)
        id 1UBBap-0007EM-9r
        for [email protected]; Fri, 01 Mar 2013 08:34:47 +1030
To: [email protected]
Subject: Order Detail
From: "Manager Ethan Finch" <[email protected]>
X-Mailer: Fscfz(ver.2.75)
Reply-To: "Manager Ethan Finch" <[email protected]>
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----------1362089087512FD47F4767C"
Message-Id: <[email protected]>
Date: Fri, 01 Mar 2013 08:34:47 +1030

------------1362089087512FD47F4767C
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit

Estes são meus logs para logs do EXIM: 

2013-03-01 14:36:00 no IP address found for host gw1.corpgw.com (during SMTP connection from [203.197.151.138]:54411)
2013-03-01 14:36:59 H=() [203.197.151.138]:54411 rejected MAIL [email protected]: HELO required before MAIL
2013-03-01 14:37:28 H=(helo) [203.197.151.138]:54411 rejected MAIL [email protected]: Access denied - Invalid HELO name (See RFC2821 4.1.1.1)
2013-03-01 14:37:28 SMTP connection from (helo) [203.197.151.138]:54411 closed by DROP in ACL
2013-03-01 14:37:29 cwd=/var/spool/exim 2 args: /usr/sbin/exim -q
2013-03-01 14:37:29 Start queue run: pid=12155
2013-03-01 14:37:29 1UBBap-0007EM-9r ** [email protected] R=enforce_mail_permissions: Mail sent by user nobody being discarded due to sender restrictions in WHM->Tweak Settings
2013-03-01 14:37:29 cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1UBBap-0007EM-9r
2013-03-01 14:37:30 1UBHFp-0003A7-W3 <= <> R=1UBBap-0007EM-9r U=mailnull P=local S=7826 T="Mail delivery failed: returning message to sender" for [email protected]
2013-03-01 14:37:30 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1UBHFp-0003A7-W3
2013-03-01 14:37:30 1UBBap-0007EM-9r Completed
2013-03-01 14:37:32 1UBHFp-0003A7-W3 aspmx.l.google.com [2607:f8b0:400e:c00::1b] Network is unreachable
2013-03-01 14:37:38 1UBHFp-0003A7-W3 => [email protected] <[email protected]> R=lookuphost T=remote_smtp H=aspmx.l.google.com [74.125.25.26] X=TLSv1:RC4-SHA:128
2013-03-01 14:37:39 1UBHFp-0003A7-W3 Completed
2013-03-01 14:37:39 End queue run: pid=12155
2013-03-01 14:38:20 SMTP connection from [127.0.0.1]:36667 (TCP/IP connection count = 1)
2013-03-01 14:38:21 SMTP connection from localhost [127.0.0.1]:36667 closed by QUIT
2013-03-01 14:42:45 cwd=/ 2 args: /usr/sbin/sendmail -t
2013-03-01 14:42:45 1UBHKv-0003BH-LD <= [email protected] U=root P=local S=1156 T="[cpanel.server.com] Root Login from IP 122.181.3.130" for [email protected]
2013-03-01 14:42:45 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1UBHKv-0003BH-LD
2013-03-01 14:42:47 1UBHKv-0003BH-LD aspmx.l.google.com [2607:f8b0:400e:c00::1a] Network is unreachable
2013-03-01 14:42:51 1UBHKv-0003BH-LD => [email protected] R=lookuphost T=remote_smtp H=aspmx.l.google.com [74.125.25.27] X=TLSv1:RC4-SHA:128
2013-03-01 14:42:51 1UBHKv-0003BH-LD Completed
2013-03-01 14:43:22 SMTP connection from [127.0.0.1]:37499 (TCP/IP connection count = 1)
2013-03-01 14:43:23 SMTP connection from localhost [127.0.0.1]:37499 closed by QUIT

Existe alguma maneira de descobrir qual script ou qual usuário está gerando?

    
por user75380 01.03.2013 / 06:30

3 respostas

22

A instalação do Linux Malware Detect ( link ) é bastante fácil :). Através deste link, faça o download do link . O link para este arquivo está localizado no topo da página da web. Em seguida, descompacte este arquivo, vá para o diretório recém-criado executando cd no seu terminal. No diretório executado

sudo ./install.sh

que instalará o scanner em seu sistema. Para realizar a varredura em si, você deve executar

sudo / usr / local / sbin / maldet -a /

-a opção aqui significa que você deseja varrer todos os arquivos. Use -r para varrer apenas os mais recentes. / especifica o diretório onde a verificação deve ser executada. Então, basta alterá-lo para qualquer diretório desejado.

Só isso

    
por 01.03.2013 / 18:31
8

The emails were all from nobody@myhost

Encontre todos os processos em execução como nobody : 

ps -U nobody

SMTP connection from [127.0.0.1]:36667 (TCP/IP connection count = 1)

Execute netstat sob watch para ver qual processo está se conectando à porta 25: 

watch 'netstat -na | grep :25'

Estes passos podem ajudá-lo a descobrir que o culpado é o ... servidor web. Em seguida, você pode executar um strace para ver qual script é chamado quando um email é enviado: 

strace -f -e trace=open,stat -p 1234 -o wserver.strace

(1234 é o PID pai do processo do servidor web)

    
por 01.03.2013 / 09:13
4

Execute um verificador de malware, como maldet , ou AVG , ou ambos, nos dados do usuário. A maioria dos scripts maliciosos são escolhidos por essas ferramentas.

    
por 01.03.2013 / 06:37

Tags

Com que finalidade um arquivo vazio de gif (1x1 pix) é exibido? Como recordo um comando específico do histórico de comandos, sem executá-lo?