Isolando a Localização do Script de Spam no Servidor CentOS [closed]

Navegue suas respostas
1

Temos um servidor CentOS rodando o Sendmail e o ISPConfig como o painel. Recentemente, notamos um grande aumento no tráfego proveniente de uma conta falsa do Yahoo. Os registros mostram centenas de e-mails enviados em pouco tempo.

Estamos tentando isolar o script, mas temos vários sites em execução e não sabemos onde procurar primeiro.

Idéias?

- Como não houve resultados, presumo que as pessoas não saibam, nunca será fácil ou não estou fornecendo informações suficientes.

Nós tentamos pesquisar os arquivos no servidor por '@yahoo' e similares, mas há uma chance de que ele receba o endereço de e-mail de um site ou arquivo externo. Podemos facilmente determinar qualquer referência a arquivos externos? Usamos arquivos .js internos para tudo, então não deve haver muitos deles.

ou qualquer outra ideia ..

    
por gamerzfuse 09.08.2010 / 17:58

2 respostas

1

Por que você considera que deve ser um script em seu servidor que está enviando esses e-mails? você menciona que você tem o sendmail na máquina em execução - talvez ele esteja agindo como retransmissor aberto ou alguém tenha configurado outro processo que encaminha e-mails dele para o seu sendmail real?

Verifique primeiro seu testador de retransmissão aberto do host, talvez: link

Então, pelo menos eu começaria por esta lista de verificação:

  • verifique se o sendmail atua como retransmissão aberta
  • interrompe o sendmail para enviar todos os e-mails e verificar o que entra na fila - os cabeçalhos no próprio e-mail bruto podem oferecer algumas dicas?
  • verifique quais portas você tem aberto e verifique se cada porta aberta que você tem corresponde ao aplicativo que você sabe que deve estar em execução.
  • durante a enxurrada de e-mails que chegam ao seu servidor, verifique o que está acontecendo com o netstat e o lsof
por 09.08.2010 / 22:06
0

Você pode executar o lsof enquanto o spam está em andamento para ver quais arquivos no servidor estão sendo acessados.

Além disso, enquanto o spam está na fila, tente ver o conteúdo da mensagem antes de sair para ver se ela fornece pistas sobre o local de origem. Por exemplo, se for de um formulário em um dos sites hospedados no servidor, ele pode revelar um campo exclusivo no formulário, que você pode então extrair dos arquivos do seu site.

    
por 09.08.2010 / 19:44

Tags

Definindo a variável de ambiente para consumo de nginx e Rails A rede do Windows 7 continua falhando