Como localizar scripts realizando spam em servidores com WHM/cPanel

Neste guia vamos ensinar como usar os logs do Exim em seu VPS/Cloud ou servidor dedicado para encontrar possíveis tentativas de spammers a usar scripts para envio de e-mails não solicitados, a fim de retransmitir o spam de seu servidor.

Como é que o spam são enviados do meu servidor?

Você pode ter um recurso de “informar a um amigo”, um sistema de alerta ou campo para recebimento de newsletter em seu site. Se você não tiver cuidado, por vezes, estes podem ser explorados por bots para fins de spam. Isso pode prejudicar a reputação de envio de seu endereço de IP, elevar a problemas, como fazer você acabar em uma blacklist.

Como faço para parar o spam vindo do meu servidor?

Exim, ou o MTA (Mail Transfer Agent) em seu servidor lida com as entregas de e-mail. Toda a atividade de e-mail é registrada incluindo e-mailsenviados a partir de scripts. Ele faz isso registrando a pasta a partir de onde o script foi executado.

Usando esse conhecimento, você pode facilmente rastrear um script que está sendo explorada para enviar spam, ou localizar os scriptspossivelmente maliciosos que um spammer tenha colocado no seu servidor.

Localize os Scripts com envio de e-mail no Exim

Nos passos abaixo vamos mostrar como localizar os scripts em seu servidor de envio de e-mail. Se desconfiar de qualquer script, você pode verificar os logs de acesso do Apache para encontrar como um spammer pode estar usando seus scripts para enviar spam.

Para seguir os passos abaixo você precisa de acesso root ao servidor, para que você tenha acesso ao log mail do Exim.

Passo 1Acesse o servidor via SSH como usuário root.

Passo 2Execute o seguinte comando para verificar os scripts mais utilizados para envio de e-mails nos logs do Exim:

 

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n


Você deve receber de volta algo como isto:

 

15 /home/userna5/public_html/about-us
25 /home/userna5/public_html
7866 /home/userna5/public_html/data


Podemos ver que /home/userna5/public_html/data de longe tem mais envios do que quaisquer outros.

Passo 3Agora podemos executar o seguinte comando para ver os scripts que estão localizados no diretório:

 

ls -lahtr /userna5/public_html/data


Neste caso recebemos de volta:

 

drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../
-rw-r–r– 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./


Como podemos ver, há um script chamado mailer.php neste diretório.

Passo 4Sabendo o script mailer.php estava enviando e-mail pelo Exim, podemos agora dar uma olhada no log de acesso Apache para ver os endereços IP que estão acessando este script usando o seguinte comando:

 

grep “mailer.php” /home/userna5/access-logs/example.com | awk ‘{print $1}’ | sort -n | uniq -c | sort -n


Você deve receber de volta algo semelhante a isto:

 

2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
7860 123.123.123.123


Podemos ver que o endereço IP 123.123.123.123 está usando o script mailer em uma natureza mal-intencionada.

Passo 5Se você encontrar um endereço IP malicioso com envio de um grande volume de e-mails a partir de um script, você deve bloquea-lo nofirewall do servidor para que ele não possa tentar se conectar novamente. Ou se preferir poderá remover o script por completo.

 

 

http://www.lgvhost.com.br/central/knowledgebase.php?action=displayarticle&id=48

Deixe um comentário