Spammer no CentOS mantém na lista negra meu servidor [fechado]

1

Sou o proprietário de um servidor e tenho um problema de spam em uma das contas.

O remetente de spam continua enviando muitos e-mails de endereços falsos inexistentes de (apenas) um dos meus domínios. [email protected], [email protected], yetanother [email protected].

Onde troubledomain.com é o meu domínio de "problemas".

  • CentOS 6.6 final (yum atualizado)
  • Atualizado todas as instalações do Wordpress no servidor, incluindo todos os plug-ins
  • Senhas de ftp alteradas
  • Excluiu a conta inteira (spamming) e criou uma nova (diferente nome)
  • Defina os e-mails máximos para 1

Eu procurei no Google por dias, tentei coisas, mas o IP do servidor ainda fica na lista negra do spam e recebo emails diários do DirectAdmin "Aviso: 1 email acabou de ser enviado por (USER)".

Parte do mail_queue:

ID  Time    Size    Sender  Frozen  Recipient(s)    Select
1Ye8vP-0008OH-0t    0m  2.1K    <>  yes [email protected]

1Ye8vP-0008OM-6H    0m  1.9K    <>  yes [email protected]

1Ye8va-0008Ob-UA    0m  746 <[email protected]>   no  [email protected]

Parte do Exim_Mainlog

2015-04-03 23:51:59 1Ye9VP-0004ur-QI <= <> R=1Ye9VO-0004tD-Jd U=mail P=local S=2120 T="Mail delivery failed: returning message to sender" from <> for [email protected]
2015-04-03 23:51:59 1Ye9VO-0004t2-8N Completed
2015-04-03 23:51:59 1Ye9VP-0004us-QI ** [email protected] F=<> R=virtual_aliases: 
2015-04-03 23:51:59 1Ye9VP-0004us-QI Frozen (delivery error message)
2015-04-03 23:51:59 1Ye9VP-0004ur-QI ** [email protected] F=<> R=virtual_aliases: 
2015-04-03 23:51:59 1Ye9VP-0004ur-QI Frozen (delivery error message) 

É realmente me deixando louco. Eu pensei que quando eu deletei toda a conta no DirectAdmin e criei um novo on, mudei todas as senhas seria limpo, mas começou novamente na mesma conta.

Eu instalei o Maldet e verifiquei todo o servidor (às vezes ele encontra o material e o limpa. Esse é o último log:

TOTAL FILES: 436208 
TOTAL HITS: 2 
TOTAL CLEANED: 1 

CLEANED & RESTORED FILES: 
/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed 

FILE HIT LIST: 
{HEX}gzbase64.inject.unclassed.15 : /maldetect-1.4.2/files/clean/gzbase64.inject.unclassed => /usr/local/maldetect/quarantine/gzbase64.inject.unclassed.19892 
{CAV}Php.Malware.Mailbot-1 : /home/USER/domains/troubledomain.com/public_html/wp-content/uploads/2016/04/functions.php => /usr/local/maldetect/quarantine/functions.php.5294 

Não entenda porque limpou 1 dos 2 resultados e o que fazer com eles e como evitar isso. Se eu fizer outra pesquisa amanhã, ele encontrará outro arquivo na pasta Wordpress e mesmo que o spam limpo ainda seja enviado.

Novamente, não sou o melhor administrador que existe, mas estou disposto / feliz em aprender ..

Nota: se você precisar de alguma informação, por favor me diga como obtê-la, assim minhas respostas serão muito mais rápidas

ATUALIZAÇÃO:

Encontrei isso quando uma outra sessão de spam estava acontecendo:

[root@SERVERNAME virtual]# lsof -i | grep smtp
exim       1503    mail    3u  IPv6   3247      0t0  TCP *:smtp (LISTEN)
exim       1503    mail    4u  IPv4   3248      0t0  TCP *:smtp (LISTEN)
exim      13999    mail    7u  IPv4  39633      0t0  TCP SERVERNAME:40610->mta-v2.mail.vip.gq1.yahoo.com:smtp (ESTABLISHED)
exim      14140    mail    9u  IPv4  40073      0t0  TCP SERVERNAME:56045->mx2.free.fr:smtp (SYN_SENT)

Alguém pode, por favor, compartilhar algumas idéias sobre como parar essas coisas ruins?

UPDATE # 2

Eu fiz mais alguns diggin e descobri que está enviando todo o spam da minha máquina local (a partir do eximstats mainlog):

Top 50 rejected ips by message count
------------------------------------
  Messages   Rejected ip
      1222   local

Além disso, quando eu verifico o uso mais alto de e-mail:

Highest         Value                           Count   Percent
Sender          [email protected]   473     3
Authentication                                  0       0
Sending Host                                    0       0
Sending Script                                  0       0

Quando eu verificar os cabeçalhos de uma das mensagens de spam é ver isso:

1YfY3p-0004GS-3R-H
mail 8 12
<>
1428430637 0
-ident mail
-received_protocol local
-body_linecount 29
-max_received_linelength 150
-allow_unqualified_recipient
-allow_unqualified_sender
-frozen 1428430637
-localerror
XX
1
[email protected]

Além disso, esta mensagem:

The most common path that the messages were sent from is /, at 15564 emails (7782%). If the path is a system path, it likely means the email was sent through smtp rather than using a script.

Espero que isso dê mais informações sobre o problema e sugestões sobre como resolver esse problema que me deixa louco.

    
por RoRo 04.04.2015 / 00:26

1 resposta

2

O Directadmin incluiu recursos para avaliar o e-mail de saída das contas da seguinte forma:

If you wish to have a custom limit for one or more email address, create a limit in the following path, which will override the /etc/virtual/user_limit file.

echo 100 > /etc/virtual/domain.com/limit/user

where "user" is without the @domain.com. http://www.directadmin.com/features.php?id=1246

Se você quiser apenas bloquear o envio completo de mensagens pelo usuário, procure o endereço IP do / var / log / exim_mainlog e bloqueie-o com o firewall. No entanto, se esse for um usuário legítimo que você não deseja bloquear, talvez a educação e a taxa de aprovação sejam melhores.

Para responder à pergunta sobre como o e-mail está sendo enviado, mesmo se você alterou as senhas da conta, ele poderia ser de um script nos arquivos do site que não precisariam ser autenticados para enviar e-mails. Tente encontrar quaisquer scripts ofensivos dessa natureza.

    
por 04.04.2015 / 00:51

Tags