{"id":3927,"date":"2015-08-07T12:59:45","date_gmt":"2015-08-07T12:59:45","guid":{"rendered":"http:\/\/www.deuzebranaweb.com.br\/?p=3927"},"modified":"2015-08-07T12:59:45","modified_gmt":"2015-08-07T12:59:45","slug":"como-verificar-quem-esta-enviando-spam-em-seu-servidor-cpanelwhm","status":"publish","type":"post","link":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/2015\/08\/07\/como-verificar-quem-esta-enviando-spam-em-seu-servidor-cpanelwhm\/","title":{"rendered":"Como verificar quem est\u00e1 enviando SPAM em seu servidor cPanel\/WHM"},"content":{"rendered":"

1-<\/strong>Para verificar qual usu\u00e1rio e\/ou script que est\u00e1 enviando SPAM em seu servidor cPanel\/WHM, execute o seguinte comando:<\/p>\n

grep cwd \/var\/log\/exim_mainlog|grep -v \/var\/spool|awk -F\u201dcwd=\u201d \u2018{print $2}\u2019|awk \u2018{print $1}\u2019|sort|uniq -c|sort -n<\/em><\/p>\n

Voc\u00ea ter\u00e1 um retorno de algo parecido com:<\/p>\n

13 \/home\/USUARIO\/public_html<\/em>
\n15 \/home\/USUARIO\/public_html\/php<\/em>
\n18 \/home\/USUARIO\/public_html\/online\/login<\/em><\/p>\n

Obs.: O n\u00famero a esquerda do diret\u00f3rio representa o n\u00famero de e-mails enviados.
\nObs\u00b2.: O per\u00edodo \u00e9 de acordo com que os logs s\u00e3o mantidos pelo exim.<\/p>\n

Este comando \u00e9 \u00f3timo para verificar se h\u00e1 algum usu\u00e1rio e\/ou script enviando SPAM a partir do seu servidor cPanel\/WHM.<\/p>\n

 <\/p>\n

http:\/\/blog.onzehost.com.br\/como-verificar-quem-esta-enviando-spam-em-seu-servidor-cpanelwhm\/<\/p>\n

 <\/p>\n

 <\/p>\n

2-Como localizar scripts realizando spam em servidores com WHM\/cPanel<\/h2>\n

Neste guia<\/span> vamos<\/span> ensinar<\/span> como usar os<\/span> logs<\/span> do<\/span> Exim<\/span> em seu<\/span> VPS\/Cloud<\/span> ou<\/span> servidor dedicado<\/span> para encontrar<\/span> poss\u00edveis tentativas<\/span> de<\/span> spammers<\/span> a usar<\/span> scripts para envio de e-mails n\u00e3o solicitados<\/span>, a fim de retransmitir<\/span> o spam de<\/span> seu servidor<\/span>.<\/span><\/span><\/p>\n

Como \u00e9 que<\/span> o spam<\/span> s\u00e3o enviados<\/span> do meu servidor<\/span>?<\/span><\/strong><\/p>\n

Voc\u00ea pode ter<\/span> um recurso de “<\/span>informar a um amigo”, um sistema de alerta ou campo para recebimento de newsletter<\/span> em seu site.<\/span> Se<\/span> voc\u00ea n\u00e3o tiver cuidado<\/span>, por vezes,estes<\/span> podem ser explorados por<\/span> bots<\/span> para fins<\/span> de spam.<\/span> Isso pode<\/span> prejudicar a reputa\u00e7\u00e3o<\/span> de envio<\/span> de<\/span> seu endere\u00e7o de<\/span> IP<\/span>, e<\/span> levar a problemas<\/span>, como fazer voc\u00ea acabar<\/span> em uma blacklist<\/span>.<\/span><\/span><\/p>\n

Como fa\u00e7o para<\/span> parar o spam<\/span> vindo do meu<\/span><\/span> <\/span><\/strong>servidor?<\/strong><\/span><\/span><\/p>\n

Exim,<\/span> ou<\/span> o<\/span> MTA<\/span> (Mail<\/span> Transfer Agent<\/span>) em seu<\/span> servidor lida com<\/span> as entregas<\/span> de e-mail<\/span>.Toda a atividade<\/span> de e-mail<\/span> \u00e9 registrada<\/span> incluindo e-mails<\/span> enviados a partir de<\/span> scripts.<\/span>Ele faz isso registrando a pasta <\/span>a partir de onde<\/span> o script<\/span> foi executado.<\/span><\/span><\/p>\n

Usando<\/span> esse conhecimento, voc\u00ea<\/span> pode facilmente<\/span> rastrear<\/span> um script<\/span> que<\/span> est\u00e1 sendo explorada<\/span> para enviar spam<\/span>, ou localizar<\/span> os scripts<\/span> possivelmente<\/span> maliciosos que<\/span> um<\/span>spammer<\/span> tenha colocado<\/span> no seu servidor.<\/span><\/p>\n

Localize os<\/span> Scripts com<\/span> envio<\/span> de e-mail no<\/span> Exim<\/span><\/span><\/strong><\/p>\n

Nos passos<\/span> abaixo<\/span> vamos mostrar<\/span> como localizar<\/span> os<\/span> scripts em seu<\/span> servidor de envio<\/span>de e-mail.<\/span> Se<\/span> desconfiar de qualquer script<\/span>, voc\u00ea pode verificar os logs de acesso<\/span> do Apache<\/span> para encontrar<\/span> como<\/span> um<\/span> spammer<\/span> pode estar usando<\/span> seus scripts para<\/span>enviar<\/span> spam.<\/span><\/span><\/span><\/span><\/p>\n

Para<\/span> seguir os passos<\/span> abaixo voc\u00ea<\/span> precisa<\/span> de acesso root<\/span> ao servidor,<\/span> para que voc\u00ea tenha<\/span> acesso ao log<\/span> mail do<\/span> Exim<\/span>.<\/span><\/p>\n

Passo 1<\/strong> – Acesse<\/span> o servidor<\/span> via SSH<\/span> como usu\u00e1rio root<\/span>.<\/span><\/p>\n

Passo 2<\/strong> – Execute o seguinte comando<\/span> para verificar os scripts mais utilizados para envio de e-mails nos logs do Exim<\/span>:<\/span><\/p>\n

 <\/p>\n\n\n\n
grep cwd \/var\/log\/exim_mainlog | grep -v \/var\/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\n<\/span><\/span><\/span>Voc\u00ea deve<\/span> receber de volta<\/span> algo como isto:<\/span><\/span><\/span><\/span><\/p>\n

 <\/p>\n\n\n\n
15 \/home\/userna5\/public_html\/about-us
\n25 \/home\/userna5\/public_html
\n7866 \/home\/userna5\/public_html\/data<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\nPodemos ver<\/span> que\u00a0\/home\/userna5\/public_html\/data<\/strong> de longe<\/span> tem<\/span> mais envios<\/span> do que<\/span> quaisquer outros.<\/span><\/span><\/span><\/span><\/p>\n

Passo 3<\/strong> – Agora podemos<\/span> executar o seguinte comando<\/span> para ver os<\/span> scripts<\/span> que est\u00e3o localizados<\/span> no diret\u00f3rio<\/span>:<\/span><\/p>\n

 <\/p>\n\n\n\n
ls -lahtr \/userna5\/public_html\/data<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

<\/span>
\nNeste<\/span> caso<\/span> recebemos de volta<\/span>:<\/span><\/span><\/span><\/p>\n

 <\/p>\n\n\n\n
drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ..\/
\n-rw-r–r– 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php
\ndrwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 .\/<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\nComo podemos<\/span> ver, h\u00e1 um<\/span> script chamado<\/span> mailer.php<\/span> neste diret\u00f3rio.<\/span><\/span><\/span><\/span><\/p>\n

Passo 4<\/strong> – Sabendo<\/span> o script<\/span> mailer.php<\/span><\/strong> estava enviando<\/span> e-mail<\/span> pelo<\/span> Exim<\/span>, podemos agora dar uma olhada no<\/span> log de acesso<\/span> Apache<\/span> para ver<\/span> os endere\u00e7os IP<\/span> que est\u00e3o acessando<\/span> este script<\/span> usando o seguinte comando<\/span>:<\/span><\/p>\n

 <\/p>\n\n\n\n
grep “mailer.php” \/home\/userna5\/access-logs\/example.com | awk ‘{print $1}’ | sort -n | uniq -c | sort -n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\nVoc\u00ea deve<\/span> receber de volta<\/span> algo semelhante a isto<\/span>:<\/span><\/span><\/span><\/p>\n

 <\/p>\n\n\n\n
2 123.123.123.126
\n2 123.123.123.125
\n2 123.123.123.124
\n7860 123.123.123.123<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\nPodemos ver que o<\/span> endere\u00e7o IP<\/span> 123.123.123.123<\/span><\/strong> est\u00e1 usando<\/span> o script<\/span> mailer<\/span> em uma natureza<\/span> mal-intencionada.<\/span><\/span><\/span><\/p>\n

Passo 5<\/strong> – Se voc\u00ea encontrar um<\/span> endere\u00e7o<\/span> IP<\/span> malicioso<\/span> com envio de um grande<\/span>volume de e-mails<\/span> a partir de um<\/span> script, voc\u00ea<\/span> deve<\/span> bloquea-lo<\/span> no<\/span> firewall<\/span> do servidor<\/span>para que<\/span> ele n\u00e3o possa<\/span> tentar se conectar<\/span> novamente. Ou se preferir poder\u00e1 remover o script por completo.<\/span><\/span><\/p>\n

http:\/\/www.lgvhost.com.br\/central\/knowledgebase.php?action=displayarticle&id=48<\/p><\/blockquote>\n

http:\/\/www.inmotionhosting.com\/support\/email\/exim\/find-spam-script-location-with-exim<\/p>\n

\n

3-Encontre localiza\u00e7\u00e3o script spam com o Exim<\/h1>\n
<\/div>\n<\/div>\n

Neste guia eu vou te ensinar como usar o log de correio Exim em seu VPS ou servidor dedicado para encontrar poss\u00edveis tentativas de spammers a usar seus scripts, ou a sua pr\u00f3pria, a fim de retransmitir o spam de seu servidor.<\/p>\n

Como \u00e9 que o spam s\u00e3o enviados do meu servidor?<\/h2>\n

Voc\u00ea pode ter um recurso de “dizer a um amigo” em seu site, ou outro e-mail sistema de alerta em seu site. Se voc\u00ea n\u00e3o tiver cuidado, por vezes, estes podem ser explorados por bots para fins de spam. Isso pode prejudicar a reputa\u00e7\u00e3o de envio de seu endere\u00e7o de correio IP, e levar a problemas, como fazer voc\u00ea acabar em uma lista negra<\/a> .<\/p>\n

Como fa\u00e7o para parar o spam vindo do meu servidor?<\/h2>\n

Exim, ou o MTA (Mail Transfer Agent) em seu servidor lida com as entregas de e-mail. Toda a atividade de e-mail \u00e9 registrada incluindo correio enviado a partir de scripts. Ele faz isso por registrar o atual diret\u00f3rio de trabalho a partir de onde o script foi executado.<\/p>\n

Usando esse conhecimento, voc\u00ea pode facilmente rastrear um script de seu pr\u00f3prio que est\u00e1 sendo explorada para enviar spam, ou localizar os scripts possivelmente maliciosos que um spammer tenha colocado no seu servidor.<\/p>\n

Localize Scripts Topo envio em Exim<\/h2>\n

Nos passos abaixo eu vou lhe mostrar como localizar os melhores scripts em seu servidor de envio de correio. Se quaisquer scripts olhar desconfiado, voc\u00ea pode verificar os logs de acesso do Apache para encontrar como um spammer pode estar usando seus scripts de enviar spam.<\/p>\n

Para seguir os passos abaixo voc\u00ea precisa de acesso root<\/a> ao seu servidor, para que voc\u00ea tenha acesso ao log mail para o Exim.<\/p>\n

    \n
  1. Entre para o servidor via SSH<\/a> como usu\u00e1rio root.<\/li>\n
  2. Execute o seguinte comando para puxar a localiza\u00e7\u00e3o do roteiro de discuss\u00e3o mais utilizado a partir do log de correio Exim:\n

    grep cwd \/ var \/ log \/ exim_mainlog | grep -v \/ var \/ spool | awk -F “cwd =” ‘{print $ 2}’ | awk ‘{print $ 1}’ | sort | uniq -c | sort -n<\/p>\n

    Reparti\u00e7\u00e3o cupom:<\/strong><\/p>\n\n\n\n\n\n\n
    grep cwd \/ var \/ log \/ exim_mainlog<\/th>\nUse o grep<\/strong> comando para localizar men\u00e7\u00f5es de cwd<\/strong> de log mail para o Exim.Isto significa diret\u00f3rio de trabalho atual<\/strong> .<\/td>\n<\/tr>\n
    grep -v \/ var \/ spool<\/th>\nUse o grep<\/strong> com o -v<\/strong> bandeira que \u00e9 um jogo invertido, de modo que n\u00e3o mostram quaisquer linhas que come\u00e7am com \/ var \/ spool<\/strong> como estas s\u00e3o as entregas Exim normais n\u00e3o enviados a partir de um script.<\/td>\n<\/tr>\n
    awk -F “cwd =” ‘{print $ 2}’ | awk ‘{print $ 1}’<\/th>\nUse o awk<\/strong> comando com as -F<\/strong> ield seperator definido para = CWD<\/strong> , em seguida, basta imprimir o $ 2<\/strong> set nd de dados, finalmente tubo que ao awk<\/strong>comando novamente apenas imprimindo a $ 1<\/strong> coluna st para que n\u00f3s s\u00f3 temos de volta o caminho do script .<\/td>\n<\/tr>\n
    sort | uniq -c | sort -n<\/th>\nOrganizar os caminhos de script por seu nome, contar-lhes excepcionalmente, em seguida, classific\u00e1-los novamente numericamente menor para o maior.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Voc\u00ea deve receber de volta algo como isto:<\/p>\n

    15 \/ home \/ userna5 \/ public_html \/ about-us
    \n25 \/ home \/ userna5 \/ public_html
    \n7866 \/ home \/ userna5 \/ public_html \/ dados<\/p>\n

    Podemos ver \/ home \/ userna5 \/ public_html \/ dados<\/strong> \u00a0de longe tem mais partos entrando do que quaisquer outros.<\/li>\n

  3. Agora podemos executar o seguinte comando para ver o que os scripts est\u00e3o localizados no diret\u00f3rio:\n

    ls -lahtr \/ userna5 \/ public_html \/ dados<\/p>\n

    Em caso thise voltamos:<\/p>\n

    drwxr-xr-x 17 userna5 userna5 4.0K 20 de janeiro 10:25 ..\/
    \n-rw-r – r– 1 userna5 userna5 5,6K 20 de janeiro 11:27 mailer.php
    \ndrwxr-xr-x 2 userna5 userna5 4.0K 20 de janeiro 11:27 .\/<\/p>\n

    Assim, podemos ver que h\u00e1 um script chamado mailer.php<\/strong> neste diret\u00f3rio<\/li>\n

  4. Sabendo o mailer.php<\/strong> roteiro foi o envio de correio para Exim, podemos agora dar uma olhada em nosso log de \u200b\u200bacesso Apache para ver o que os endere\u00e7os IP est\u00e3o acessando este script usando o seguinte comando:\n

    grep “mailer.php” \/home\/userna5\/access-logs\/example.com | awk ‘{print $ 1}’ | sort -n | uniq -c | sort -n<\/p>\n

    Voc\u00ea deve receber de volta algo semelhante a isto:<\/p>\n

    2 123.123.123.126
    \n123.123.123.125 2
    \n2 123.123.123.124
    \n123.123.123.123 7860<\/p>\n

    Podemos ver o endere\u00e7o IP 123.123.123.123<\/strong> estava usando nosso script mailer em uma natureza mal-intencionado.<\/li>\n

  5. Se voc\u00ea encontrar um endere\u00e7o IP malicioso envio de um grande volume de correio a partir de um script, voc\u00ea provavelmente vai querer ir em frente e bloque\u00e1-los no firewall do servidor para que eles n\u00e3o podem tentar se conectar novamente.Isto pode ser conseguido com o comando seguinte:\n

    apf -d 123.123.123.123 “spams a partir de script em \/ home \/ userna5 \/ public_html \/ dados”<\/p>\n<\/li>\n<\/ol>\n

    Espero que voc\u00ea j\u00e1 aprendeu a usar seu log-mail Exim para ver o que os scripts em seu servidor est\u00e3o causando a atividade mais e-mail. Tamb\u00e9m como investigar se a atividade maliciosa est\u00e1 acontecendo, e como bloque\u00e1-lo.<\/p>\n

     <\/p>\n

    http:\/\/www.inmotionhosting.com\/support\/email\/exim\/find-spam-script-location-with-exim<\/p>\n

    ———————————————————————————————————————————————–<\/p>\n

    como limpar toda fila de emails (mail queue) do exim via ssh (console)<\/h2>\n

     <\/p>\n

    exim -bp | awk '\/^ *[0-9]+[mhd]\/{print \"exim -Mrm \" $3}' | bash<\/code><\/p>\n

    Outro comando \u00fatil \u00e9:
    \nexim -bp | exiqgrep -i | xargs exim -Mrm<\/code><\/p>\n

    ———————————————————————————————————————————————–<\/p>\n

    pode remover apenas mensagens de um destinat\u00e1rio em especial, assim, as mensagens v\u00e1lidas seriam poupadas<\/p>\n

    grep -R -l \u2018EMAIL@DOM\u00cdNIO\u2019 \/var\/spool\/exim\/msglog\/* |cut -b26-|xargs exim -Mrm<\/p>\n

    exiqgrep -i -f email@dominio.com.br<\/a> | xargs exim -Mrm<\/p>\n

    ———————————————————————————————————————————————–<\/p>\n

    Lista ips e email rejeitados.<\/p>\n

    eximstats -ne -nr \/var\/log\/exim_mainlog<\/p>\n

    ———————————————————————————————————————————————–<\/p>\n

    achar o usuario que esta enviando muito email spam.<\/p>\n

    grep cwd \/var\/log\/exim_mainlog|grep -v \/var\/spool|awk -F\u201dcwd=\u201d \u2018{print $2}\u2019|awk \u2018{print $1}\u2019|sort|uniq -c|sort -n<\/em><\/p>\n

    Voc\u00ea ter\u00e1 um retorno de algo parecido com:<\/p>\n

    13 \/home\/USUARIO\/public_html<\/em>
    \n15 \/home\/USUARIO\/public_html\/php<\/em>
    \n105178 \/home\/TESTE\/public_html\/online\/login<\/em><\/p>\n

    achar e mover email spam para pasta\u00a0varspooleximinput_ever , o usuario teste emviando muito emails spam com scripts.<\/p>\n

    mkdir \u00a0\/root\/varspooleximinput_ever
    \nfor f in `grep -r -l -i “teste@teste.com.br” \/var\/spool\/exim\/.*`; do mv -f ${f} \/root\/varspooleximinput_ever\/; done<\/p>\n

    ———————————————————————————————————————————————–<\/p>\n

    mover scripts em php milher para uma pasta criada:<\/p>\n

    mkdir \u00a0\/root\/varspooleximinput_ever
    \nfor f in `grep -r -l -i “X-PHP-Script” \/var\/spool\/exim\/.*`; do mv -f ${f} \/root\/varspooleximinput_ever\/; done<\/p>\n

    ———————————————————————————————————————————————–<\/p>\n

    http:\/\/www.nerdblog.info\/2011\/01\/29\/como-limpar-toda-fila-de-emails-mail-queue-do-exim-via-ssh-console\/<\/p>\n

     <\/p>\n

     <\/p>\n","protected":false},"excerpt":{"rendered":"

    1-Para verificar qual usu\u00e1rio e\/ou script que est\u00e1 enviando SPAM em seu servidor cPanel\/WHM, execute o seguinte comando: grep cwd \/var\/log\/exim_mainlog|grep -v \/var\/spool|awk -F\u201dcwd=\u201d \u2018{print $2}\u2019|awk \u2018{print $1}\u2019|sort|uniq -c|sort -n Voc\u00ea ter\u00e1 um retorno de algo parecido com: 13 \/home\/USUARIO\/public_html 15 \/home\/USUARIO\/public_html\/php 18 \/home\/USUARIO\/public_html\/online\/login Obs.:…<\/p>\n","protected":false},"author":2,"featured_media":3928,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_angie_page":false,"page_builder":"","footnotes":""},"categories":[18,3,19],"tags":[],"class_list":["post-3927","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-comandos-linux","category-email","category-whmcapenel"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/posts\/3927","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=3927"}],"version-history":[{"count":0,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/posts\/3927\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/media\/3928"}],"wp:attachment":[{"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=3927"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=3927"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=3927"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}