Scripts enviando spam em servidores WHM/cPanel

Acesse e encontre o Scripts com envio de e-mail no Exim

Como localizar os scripts que estão enviando os e-mails spam?

Você precisa acessar como root, para que você tenha acesso ao log Exim.

1 - Acesse o servidor via SSH como usuário root.

2 - Use o seguinte comando para verificar os scripts utilizados para envio de e-mails e ver os logs do Exim:

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

Você deve receber de volta algo como isto:

20 /home/usuarioxxx/public_html/about-us
46 /home/usuarioxxx/public_html
5432 /home/usuarioxxx/public_html/data

Da para percerber que /home/usuarioxxx/public_html/mostra muito mais envios do que outros.

3 - Execute o seguinte comando para ver os scripts que estão localizados no diretório:

ls -lahtr /usuarioxxx/public_html/data

Neste caso recebemos de volta:

drwxr-xr-x 17 usuarioxxx 3.0K Fev 15 06:24 ../
-rw-r--r-- 1 usuarioxxx usuarioxxx 7.9K Fev 15 21:29 email_envio.php
drwxr-xr-x 2 usuarioxxx usuarioxxx 3.0K Fev 15 15:34 ./

Como podemos ver, há um script chamado mailer.php neste diretório.

4 - O script email_envio.php está enviando e-mail pelo Exim, chegou a hora de dar uma olhada no log de acesso do Apache para ver os endereços IP que estão acessando o script coloque o seguinte comando:

grep "mailer.php" /home/usuarioxxx/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort -n

Vai aparecer algo semelhante a isto:

3 200.200.200.122
3 200.200.200.126
3 200.200.200.123
6530 200.200.200.122

O endereço IP 200.200.200.122 está usando o script para envio spam.

5 - Sabendo qual é o IP malicioso enviando um grande volume de e-mails a partir de um script, entre no firewall do servidor e efetue o bloqueio. Você também pode remover o script evitando assim novos possíveis envios.

Adicionar aos Favoritos

Imprimir este Artigo