Quem ou o que está enviando spam do meu servidor (CentOS / Apache / suPHP)

Navegue suas respostas
2

Meu servidor está enviando muitos spams e eu procurei o problema por horas agora. Após googling eu encontrei um fórum onde eles falaram sobre isso e mencionaram para cavar no log exim, então eu fiz e achei que os e-mails foram enviados de: [username] @ vps1. [Hostname]. [Tld]. No fórum eles disseram que os e-mails provavelmente foram enviados do meu servidor porque este não é um endereço de e-mail usado. Eles também mencionaram para cavar em logs php.

Eu tentei isso, mas não consegui encontrar nada, então, por meio de cabeçalhos de e-mail, estou tentando detectar o script enviando todos esses e-mails. O que é, estou preso agora.

Eu alterei o php.ini adicionando as seguintes regras: 

mail.add_x_header = On
mail.log = /var/log/phpmail.log

Também adicionei exim.conf adicionando esta linha: 

+arguments \

Reiniciei o exim e o apache, mas não vejo nenhum cabeçalho do X-PHP-Script no log do exim e o log de e-mail do php não foi criado.

A única coisa que vejo é um cabeçalho X no log do exim: 

X=TLSv1:RC4-SHA:128

Alguém pode me dizer o que fazer a seguir?

EDITAR

Aqui estão algumas linhas do log do exim: 

bash-3.2# cat /var/log/exim/mainlog | grep 1W9FsC-0003qq-S2
2014-01-31 16:19:16 1W9FsC-0003qq-S2 <= [email protected] U=instijl P=local S=816 T="Re:  It's good to see you," from <[email protected]> for [email protected]
2014-01-31 16:19:16 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1W9FsC-0003qq-S2
2014-01-31 16:19:17 1W9FsC-0003qq-S2 ** [email protected] F=<[email protected]> R=lookuphost T=remote_smtp: SMTP error from remote mail server after initial connection: host extmail.bigpond.com [61.9.168.122]: 554 nskntcmgw02p BigPond Inbound IB103. Connection refused. 141.138.199.65 has a poor reputation on the Cloudmark Sender Intelligence (CSI) list. Please visit http://csi.cloudmark.com/reset-request/?ip=141.138.199.65 to request a delisting.
2014-01-31 16:19:17 cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1W9FsC-0003qq-S2
2014-01-31 16:19:17 1W9FsD-0003r9-H9 <= <> R=1W9FsC-0003qq-S2 U=mail P=local S=2006 T="Mail delivery failed: returning message to sender" from <> for [email protected]
2014-01-31 16:19:17 1W9FsC-0003qq-S2 Completed

bash-3.2# cat /var/log/exim/mainlog | grep 1W9FsC-0003qc-M7
2014-01-31 16:19:16 1W9FsC-0003qc-M7 <= [email protected] U=instijl P=local S=822 T="Re:  It's good to see you," from <[email protected]> for [email protected]
2014-01-31 16:19:16 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1W9FsC-0003qc-M7
2014-01-31 16:19:17 1W9FsC-0003qc-M7 ** [email protected] F=<[email protected]> R=lookuphost T=remote_smtp: SMTP error from remote mail server after end of data: host gmail-smtp-in.l.google.com [173.194.65.26]: 550-5.7.1 [141.138.199.65      12] Our system has detected that this message is\n550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail,\n550-5.7.1 this message has been blocked. Please visit\n550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for\n550 5.7.1 more information. y48si18631040eew.58 - gsmtp
2014-01-31 16:19:17 cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1W9FsC-0003qc-M7
2014-01-31 16:19:17 1W9FsD-0003r1-BS <= <> R=1W9FsC-0003qc-M7 U=mail P=local S=2146 T="Mail delivery failed: returning message to sender" from <> for [email protected]
2014-01-31 16:19:17 1W9FsC-0003qc-M7 Completed

bash-3.2# cat /var/log/exim/mainlog | grep 1W9Frw-0003oS-Gd
2014-01-31 16:19:00 1W9Frw-0003oS-Gd <= [email protected] U=instijl P=local S=823 T="FW:  Yo" from <[email protected]> for [email protected]
2014-01-31 16:19:00 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1W9Frw-0003oS-Gd
2014-01-31 16:19:02 1W9Frw-0003oS-Gd SMTP error from remote mail server after MAIL FROM:<[email protected]> SIZE=1866: host mta6.am0.yahoodns.net [98.136.217.203]: 421 4.7.1 [TS03] All messages from 141.138.199.65 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html
2014-01-31 16:19:03 1W9Frw-0003oS-Gd SMTP error from remote mail server after MAIL FROM:<[email protected]> SIZE=1866: host mta6.am0.yahoodns.net [98.136.216.26]: 421 4.7.1 [TS03] All messages from 141.138.199.65 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html
2014-01-31 16:19:04 1W9Frw-0003oS-Gd SMTP error from remote mail server after MAIL FROM:<[email protected]> SIZE=1866: host mta6.am0.yahoodns.net [66.196.118.36]: 421 4.7.1 [TS03] All messages from 141.138.199.65 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html
2014-01-31 16:19:06 1W9Frw-0003oS-Gd SMTP error from remote mail server after MAIL FROM:<[email protected]> SIZE=1866: host mta6.am0.yahoodns.net [98.138.112.33]: 421 4.7.1 [TS03] All messages from 141.138.199.65 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html
2014-01-31 16:19:07 1W9Frw-0003oS-Gd SMTP error from remote mail server after MAIL FROM:<[email protected]> SIZE=1866: host mta6.am0.yahoodns.net [66.196.118.35]: 421 4.7.1 [TS03] All messages from 141.138.199.65 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html
2014-01-31 16:19:07 1W9Frw-0003oS-Gd == [email protected] R=lookuphost T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<[email protected]> SIZE=1866: host mta6.am0.yahoodns.net [66.196.118.35]: 421 4.7.1 [TS03] All messages from 141.138.199.65 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html

bash-3.2# cat /var/log/exim/mainlog | grep 1W9Frg-0003mP-S6
2014-01-31 16:18:44 1W9Frg-0003mP-S6 <= [email protected] U=instijl P=local S=814 T="call me" from <[email protected]> for [email protected]
2014-01-31 16:18:44 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1W9Frg-0003mP-S6
2014-01-31 16:18:45 1W9Frg-0003mP-S6 => [email protected] F=<[email protected]> R=lookuphost T=remote_smtp S=837 H=mx-ha03.web.de [213.165.67.104] X=TLSv1:AES256-SHA:256 C="250 Requested mail action okay, completed: id=0Le6s0-1VUM4v1jno-00pvEX"
2014-01-31 16:18:45 1W9Frg-0003mP-S6 Completed
    
por Tim Baas 31.01.2014 / 16:01

1 resposta

2

Resumo das etapas do TroubleShooting

O "U = instijl" mostrado no seu extrato / var / log / exim / mainlog diz que o que quer que esteja enviando os emails está sendo executado como usuário instijl . Primeiro, veja se o usuário está logado com um shell. Segundo uso 'ps aux' para descobrir se algum processo está sendo executado por esse usuário. Terceiro, procure nos logs de acesso do apache para ver qual tráfego está sendo enviado para o apache ao mesmo tempo que 4 e-mails acima. Eu suspeito que você tem um formulário inseguro de "enviar-me feedback" que está sendo abusado (inseguro porque você permite que a solicitação http de entrada configure o remetente, o destinatário e o corpo da mensagem).

Se o host virtual que está atendendo e aceitando essa solicitação não tiver sua própria entrada de log de acesso, ela não fará login no log de acesso geral (que é provavelmente o que você encontrou). Encontre a seção específica que está respondendo solicitações para aquele usuário e adicione a entrada do registro de acesso (ou se já estiver registrando, descubra o nome do arquivo). Se você executar 'httpd -S' , o apache imprimirá a configuração básica do host virtual para ajudá-lo a encontrar mais facilmente onde no arquivo de configuração essa seção é controlada / configurada.

Outra coisa que você pode fazer é 'yum install ngrep' (pode estar em repositório externo como epel) e executar 'ngrep -n -q porta 80' e Veja o que o tráfego está chegando. Um comando mais específico que mostra apenas as solicitações recebidas seria "ngrep-q -s 240 'GET | POST' porta 80" . Ajuste o 240 para cima ou para baixo, se você quiser ver mais ou menos o pedido, ou omitir, se você quiser ver o pedido completo.

    
por 31.01.2014 / 18:20

Tags

Inicialização do Windows Server 2012 WDS e Linux mdadm disco constante i / o