Sou o proprietário de um servidor e tenho um problema de spam em uma das contas.
O remetente de spam continua enviando muitos e-mails de endereços falsos inexistentes de (apenas) um dos meus domínios. [email protected], [email protected], yetanother [email protected].
Onde troubledomain.com é o meu domínio de "problemas".
- CentOS 6.6 final (yum atualizado)
- Atualizado todas as instalações do Wordpress no servidor, incluindo todos os plug-ins
- Senhas de ftp alteradas
- Excluiu a conta inteira (spamming) e criou uma nova (diferente
nome)
- Defina os e-mails máximos para 1
Eu procurei no Google por dias, tentei coisas, mas o IP do servidor ainda fica na lista negra do spam e recebo emails diários do DirectAdmin "Aviso: 1 email acabou de ser enviado por (USER)".
Parte do mail_queue:
ID Time Size Sender Frozen Recipient(s) Select
1Ye8vP-0008OH-0t 0m 2.1K <> yes [email protected]
1Ye8vP-0008OM-6H 0m 1.9K <> yes [email protected]
1Ye8va-0008Ob-UA 0m 746 <[email protected]> no [email protected]
Parte do Exim_Mainlog
2015-04-03 23:51:59 1Ye9VP-0004ur-QI <= <> R=1Ye9VO-0004tD-Jd U=mail P=local S=2120 T="Mail delivery failed: returning message to sender" from <> for [email protected]
2015-04-03 23:51:59 1Ye9VO-0004t2-8N Completed
2015-04-03 23:51:59 1Ye9VP-0004us-QI ** [email protected] F=<> R=virtual_aliases:
2015-04-03 23:51:59 1Ye9VP-0004us-QI Frozen (delivery error message)
2015-04-03 23:51:59 1Ye9VP-0004ur-QI ** [email protected] F=<> R=virtual_aliases:
2015-04-03 23:51:59 1Ye9VP-0004ur-QI Frozen (delivery error message)
É realmente me deixando louco. Eu pensei que quando eu deletei toda a conta no DirectAdmin e criei um novo on, mudei todas as senhas seria limpo, mas começou novamente na mesma conta.
Eu instalei o Maldet e verifiquei todo o servidor (às vezes ele encontra o material e o limpa. Esse é o último log:
TOTAL FILES: 436208
TOTAL HITS: 2
TOTAL CLEANED: 1
CLEANED & RESTORED FILES:
/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed
FILE HIT LIST:
{HEX}gzbase64.inject.unclassed.15 : /maldetect-1.4.2/files/clean/gzbase64.inject.unclassed => /usr/local/maldetect/quarantine/gzbase64.inject.unclassed.19892
{CAV}Php.Malware.Mailbot-1 : /home/USER/domains/troubledomain.com/public_html/wp-content/uploads/2016/04/functions.php => /usr/local/maldetect/quarantine/functions.php.5294
Não entenda porque limpou 1 dos 2 resultados e o que fazer com eles e como evitar isso. Se eu fizer outra pesquisa amanhã, ele encontrará outro arquivo na pasta Wordpress e mesmo que o spam limpo ainda seja enviado.
Novamente, não sou o melhor administrador que existe, mas estou disposto / feliz em aprender ..
Nota: se você precisar de alguma informação, por favor me diga como obtê-la, assim minhas respostas serão muito mais rápidas
ATUALIZAÇÃO:
Encontrei isso quando uma outra sessão de spam estava acontecendo:
[root@SERVERNAME virtual]# lsof -i | grep smtp
exim 1503 mail 3u IPv6 3247 0t0 TCP *:smtp (LISTEN)
exim 1503 mail 4u IPv4 3248 0t0 TCP *:smtp (LISTEN)
exim 13999 mail 7u IPv4 39633 0t0 TCP SERVERNAME:40610->mta-v2.mail.vip.gq1.yahoo.com:smtp (ESTABLISHED)
exim 14140 mail 9u IPv4 40073 0t0 TCP SERVERNAME:56045->mx2.free.fr:smtp (SYN_SENT)
Alguém pode, por favor, compartilhar algumas idéias sobre como parar essas coisas ruins?
UPDATE # 2
Eu fiz mais alguns diggin e descobri que está enviando todo o spam da minha máquina local (a partir do eximstats mainlog):
Top 50 rejected ips by message count
------------------------------------
Messages Rejected ip
1222 local
Além disso, quando eu verifico o uso mais alto de e-mail:
Highest Value Count Percent
Sender [email protected] 473 3
Authentication 0 0
Sending Host 0 0
Sending Script 0 0
Quando eu verificar os cabeçalhos de uma das mensagens de spam é ver isso:
1YfY3p-0004GS-3R-H
mail 8 12
<>
1428430637 0
-ident mail
-received_protocol local
-body_linecount 29
-max_received_linelength 150
-allow_unqualified_recipient
-allow_unqualified_sender
-frozen 1428430637
-localerror
XX
1
[email protected]
Além disso, esta mensagem:
The most common path that the messages were sent from is /, at 15564 emails (7782%).
If the path is a system path, it likely means the email was sent through smtp rather than using a script.
Espero que isso dê mais informações sobre o problema e sugestões sobre como resolver esse problema que me deixa louco.