Script de envio de spam de correio injetado

1

Peço desculpas se isso já foi feito um milhão de vezes.

Uma das contas no meu servidor foi invadida. Um script de envio de spam por e-mail é injetado e envia muitos e-mails para alguns endereços aleatórios.

Eu tenho cPanel / WHM no meu servidor WHM 11.38.0 (build 5) Também é CENTOS 5.9 x86_64

Eu normalmente não uso o cPanel nem o WHM no servidor desde o início e depois estava ocupado demais para configurar um servidor que não fosse baseado no WHM.

O que eu fiz até agora:

  1. Eu bloqueei a conta problemática de enviar e-mails de WHM
  2. Eu executei este comando exim -bp | grep \< | awk '{print $3}' | xargs exim -Mrm desde que recebi 70k e-mails na fila de e-mail
  3. reiniciei o servidor

Atualmente, não consigo alterar a senha para essa conta de e-mail.

Existe uma maneira de ver exatamente qual processo, ou muito melhor, qual script está enviando esses e-mails e onde ele está localizado?

Agradeço antecipadamente e se precisar de mais informações para me ajudar, basta perguntar.

EDITAR

Eu olhei no crontab para esse usuário e não havia nada de suspeito nele. Agradeço antecipadamente e se precisar de mais informações para me ajudar, basta perguntar.

EDIT 2

Aqui está uma captura de tela do comando principal executado e apontei para o meu suspeito:

Alémdoprocessoapontado,hámuitosprocessos"mailnull". O que posso fazer sobre isso?

    
por Develoger 08.05.2013 / 21:01

3 respostas

2

Se você conhece a conta de e-mail de onde vem o spam, você definitivamente terá que alterar a senha. Como você sabe que o spam é enviado através de algum script?

Se ele for enviado por meio de um script vulnerável (PHP? -), para descobrir de onde ele vem, você deve criar um wrapper do sendmail, já que os scripts geralmente usam o binário do sendmail para enviar e-mails.

Crie um arquivo /usr/sbin/sendmail-wrapper com este conteúdo:

#!/bin/sh
TODAY='date -Iseconds'
echo $TODAY sendmail-wrapper called $USER from $PWD >>/tmp/mail.send
(echo X-Additional-Header: $(dirname $PWD);cat) | /usr/sbin/sendmail-real "$@"

Para ativar seu wrapper, mova o binário real do sendmail:

mv /usr/sbin/sendmail /usr/sbin/sendmail-real

e mova o wrapper:

mv /usr/sbin/sendmail-wrapper /usr/sbin/sendmail

Toda vez que o sendmail é chamado, ele adicionará um cabeçalho adicional ao e-mail e registrará o caminho que o sendmail foi chamado de /tmp/mail.send . Desta forma, você deve ser capaz de encontrar o script problemático.

Certifique-se de colocar o binário original do sendmail de volta no lugar para evitar que /tmp/mail.send cresça indefinidamente.

    
por 08.05.2013 / 21:23
2

Talvez um script php seja explorado Se você estiver executando o php 5.3.x ou over set:

mail.add_x_header=1
mail.log=/var/log/phpmail

no php.ini.
Certifique-se também de que o / var / log / phpmail é mundialmente gravável, para que todo processo php possa escrevê-lo.
Em seguida, reinicie o apache.

Após verificar os cabeçalhos dos emails de saída, deve conter o nome do script php (X-PHP-Originating-Script)

    
por 08.05.2013 / 23:13
0

você pode desabilitar o usuário clubmaga? por que você não pode mudar a senha do clubmaga? Você já tentou matar ou matar -9 seu suspeito mal proggy? limpar a fila de correio supondo que você pode? seu sistema está atualizado?

Até que você saiba como foi comprometido, você ainda estará comprometido - até onde você sabe, o vilão ainda está na máquina e, mesmo que não esteja, você não está disposto a mudar senhas máquina ainda está totalmente disponível.

A menos que você realmente saiba o que está fazendo, você deve limpar ou instalar ou restaurar um backup que você sabe que está limpo. Qualquer outra coisa provavelmente terá pouco efeito positivo, pois você ainda está comprometido ou pelo menos compreensível da mesma forma que já funcionou.

    
por 08.05.2013 / 21:19