Como localizar scripts realizando spam em servidores com WHM/cPanel

Neste guia vamos ensinar como usar os logs do Exim em seu VPS/Cloud ou servidor dedicado para encontrar possíveis tentativas de spammers a usar scripts para envio de e-mails não solicitados, a fim de retransmitir o spam de seu servidor.

Como é que o spam são enviados do meu servidor?

Você pode ter um recurso de "informar a um amigo", um sistema de alerta ou campo para recebimento de newsletter em seu site. Se você não tiver cuidado, por vezes,estes podem ser explorados por bots para fins de spam. Isso pode prejudicar a reputação de envio de seu endereço de IPe levar a problemas, como fazer você acabar em uma blacklist.

Como faço para parar o spam vindo do meu servidor?

Exim, ou o MTA (Mail Transfer Agentem seu servidor lida com as entregas de e-mail.Toda a atividade de e-mail é registrada incluindo e-mails enviados a partir de scripts.Ele faz isso registrando a pasta a partir de onde o script foi executado.

Usando esse conhecimento, você pode facilmente rastrear um script que está sendo explorada para enviar spamou localizar os scripts possivelmente maliciosos que umspammer tenha colocado no seu servidor.

Localize os Scripts com envio de e-mail no Exim

Nos passos abaixo vamos mostrar como localizar os scripts em seu servidor de enviode e-mail. Se desconfiar de qualquer script, você pode verificar os logs de acesso do Apache para encontrar como um spammer pode estar usando seus scripts paraenviar spam.

Para seguir os passos abaixo você precisa de acesso root ao servidor, para que você tenha acesso ao log mail do Exim.

Passo 1 - Acesse o servidor via SSH como usuário root.

Passo 2 - Execute o seguinte comando para verificar os scripts mais utilizados para envio de e-mails nos logs do Exim:

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

Você deve receber de volta algo como isto:
15 /home/userna5/public_html/about-us
25 /home/userna5/public_html
7866 /home/userna5/public_html/data

Podemos ver que /home/userna5/public_html/data de longe tem mais envios do que quaisquer outros.

Passo 3 - Agora podemos executar o seguinte comando para ver os scripts que estão localizados no diretório:

ls -lahtr /userna5/public_html/data

Neste caso recebemos de volta:

drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../
-rw-r--r-- 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./

Como podemos ver, há um script chamado mailer.php neste diretório.

Passo 4 Sabendo o script mailer.php estava enviando e-mail pelo Exim, podemos agora dar uma olhada no log de acesso Apache para ver os endereços IP que estão acessando este script usando o seguinte comando:

grep "mailer.php" /home/userna5/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort -n

Você deve receber de volta algo semelhante a isto:

2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
7860 123.123.123.123

Podemos ver que o endereço IP 123.123.123.123 está usando o script mailer em uma natureza mal-intencionada.

Passo 5 - Se você encontrar um endereço IP malicioso com envio de um grandevolume de e-mails a partir de um script, você deve bloquea-lo no firewall do servidorpara que ele não possa tentar se conectar novamente. Ou se preferir poderá remover o script por completo.



  • 810 Usuários acharam útil
Esta resposta lhe foi útil?

Artigos Relacionados

Onde está localizado o arquivo php.ini em Servidor com cPanel/WHM?

O arquivo php.ini está localizado no seguinte caminho: /usr/local/lib/php.ini O arquivo php.ini...

Erro na licença do cPanel: "cPanel Invalid License File" ou "License File Expired"

Se o seu cPanel mostrar uma das seguintes mensagens, ele pode estar com um problema na licença....

Lentidão ao conectar ou abrir diretórios no ProFTPD

Se você está com problemas de lentidão ao conectar, abrir diretórios ou efetuar uploads no...

Problemas de quotas no cPanel

As vezes o cPanel/WHM mostra que usuários possuem espaço ilimitado em suas contas, 0 mb de...