eloimarquessilva Posted July 9, 2014 Share Posted July 9, 2014 Colegas, estou com a seguinte duvida sobre "Relay", "Script Alert", "AUTHRELAY", "LOCALRELAY" e SPAM: Recentemente um cliente teve o site "invadido" (o que, ainda bem, é pouco comum conosco) e recebi o alerta LOCALRELAY e na sequencia um "Script Alert" com o path do script "malvado". "Script Alert": Para o "Script Alert" sei que o CSF dispõem da opção para "bloquear" o script via chmod mas recomenda cuidado com esta opção pois pode ferrar com o SO. LOCALRELAY: Sobre o "LOCALRELAY" o CSF ou cPanel não tem nenhuma opção de bloqueio automático, apenas o alerta. "AUTHRELAY": Por fim, ja algum tempo eu percebi (da pior forma possível) que o limite de envio de e-mails por hora (do cPanel) não funciona para mensagens "relay" (retransmitidas) ou seja se o domínio tem um limite de 300 mensagens por hora e o cara mandar 100 mensagens (cada uma) com copia (cc, bcc etc) para outros 100 e-mails vai sair do seu servidor ao todo 10.000 sem que o usuário seja bloqueado pelo cPanel por exceder o limite de 300 mensagens por hora. Neste caso é possível ativar o bloqueio "AUTHRELAY" do CSF e/ou limitar o "Maximum message recipients" soft ou hard (quando abaixo de 100 "fere" a RFCs) pelo cPanel (exim) Gostaria de saber como vocês lidam com estes tipos de problemas. Qual tipo de configuração do CSF, Exim e cPanel vocês aplicam aos seus servidores para limitar ao máximo o envio de spam (autenticado ou por scripts maliciosos) e como é a rotina de monitoramento de vocês quanto a isso. Desde já agradeço. 0 Quote Link to comment Share on other sites More sharing options...
Luciana Mattos Posted July 9, 2014 Share Posted July 9, 2014 A minha solução foi um pouco diferente. Eu aceitava PayPal como forma de pagamento, logo atraia umas contas que efetuava assinatura apenas para envio de spam, o sujeito pagava com um cartão clonado, o serviço era liberado e ele começava a disparar spam. Mesmo que você identifique 10min depois, ele já enviou um número alto de emails que provavelmente vai mandar o IP para alguma blacklist. Solução: Desativei o PayPal, apenas os clientes antigos podem fazer pagamento pelo mesmo Outra coisa que acontecia era clientes com contas invadidas, a solução para esse caso foi configurar os servidores com php no safe_mode, restringir o uso de php.ini e desativar funções como: symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode, Uma vez ou outra mandamos e-mails aos clientes com dicas de segurança, para os que tenham CMS, que mantenham sempre atualizados, etc, etc. Com isso o número de invasões diminuiu bastante, diminuindo as contas disparando spam. bloquear o php.ini, ativar o safe_mode e desabilitar as funções acima deram um bom resultado, pois toda vez que o cliente tinha uma conta invadida, a gente pegava o arquivo que o invasor utilizou e estudávamos eles, testes com configurações diferentes, etc. Não adianta apenas ligar o safe_mode, pois ele pode criar um php.ini e desabilitar o safe_mode para aquela conta. Para proteger conta upload de arquivos suspeitos pelo cPanel usamos o ClamAV, além do maldet para fazer varreduras diarias nas contas. 0 Quote Link to comment Share on other sites More sharing options...
Alexandre Duran Posted July 9, 2014 Share Posted July 9, 2014 A minha solução foi um pouco diferente. Eu aceitava PayPal como forma de pagamento, logo atraia umas contas que efetuava assinatura apenas para envio de spam, o sujeito pagava com um cartão clonado, o serviço era liberado e ele começava a disparar spam. Mesmo que você identifique 10min depois, ele já enviou um número alto de emails que provavelmente vai mandar o IP para alguma blacklist. Solução: Desativei o PayPal, apenas os clientes antigos podem fazer pagamento pelo mesmo Outra coisa que acontecia era clientes com contas invadidas, a solução para esse caso foi configurar os servidores com php no safe_mode, restringir o uso de php.ini e desativar funções como: symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode, Uma vez ou outra mandamos e-mails aos clientes com dicas de segurança, para os que tenham CMS, que mantenham sempre atualizados, etc, etc. Com isso o número de invasões diminuiu bastante, diminuindo as contas disparando spam. bloquear o php.ini, ativar o safe_mode e desabilitar as funções acima deram um bom resultado, pois toda vez que o cliente tinha uma conta invadida, a gente pegava o arquivo que o invasor utilizou e estudávamos eles, testes com configurações diferentes, etc. Não adianta apenas ligar o safe_mode, pois ele pode criar um php.ini e desabilitar o safe_mode para aquela conta. Para proteger conta upload de arquivos suspeitos pelo cPanel usamos o ClamAV, além do maldet para fazer varreduras diarias nas contas. Luciana eu te sugiro usar o cloudlinux com o cagefs, além dos itens acima. 0 Quote Link to comment Share on other sites More sharing options...
MyWay Hosting Posted July 21, 2014 Share Posted July 21, 2014 Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay Além disso você pode fazer com que o servidor lhe envie para seu celular um alerta de uso de Relay e então você suspende a conta, se necessário. Quando o firewall bloquear o IP, o spammer pode tentar conectar a partir de outro IP para enviar mais emails portanto você deve fazer com que receba alertas em seu celular afim de bloquear a conta nestes casos. Spammers comuns que enviam a partir de um só IP, desistem quando tem o Ip bloqueado via CSF. Abraços ! 0 Quote Link to comment Share on other sites More sharing options...
Jorge Marcelino Posted September 17, 2014 Share Posted September 17, 2014 Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay Além disso você pode fazer com que o servidor lhe envie para seu celular um alerta de uso de Relay e então você suspende a conta, se necessário. Quando o firewall bloquear o IP, o spammer pode tentar conectar a partir de outro IP para enviar mais emails portanto você deve fazer com que receba alertas em seu celular afim de bloquear a conta nestes casos. Spammers comuns que enviam a partir de um só IP, desistem quando tem o Ip bloqueado via CSF. Abraços ! Marcelo, como faz isso? "Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay" estou com o mesmo problema que nosso amigo . 1 Quote █ www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY Link to comment Share on other sites More sharing options...
MyWay Hosting Posted September 19, 2014 Share Posted September 19, 2014 Marcelo, como faz isso? "Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay" estou com o mesmo problema que nosso amigo . Oi Jorge pode estar havendo o envio de 2 formas. Como você percebeu, isso é envio com autenticação smtp 1) Algum script que teu cliente usa e que conecte ao email com senha para envio de emails. Então esse script tem falhas de segurança e um spammer usa para enviar emais. 2) Algum cliente enviando emails em massa ou email hackeado. Na sua grande maioria é envio por email hackeado ( senha de email ) e em 95% dos casos por ips internacionais. Usando o hulk você pode bloquear o acesso ao smtp para ips estrangeiros e isso irá barrar esse problema Já se é um cliente enviando emails em massa ou então algum script com autenticação smtp sendo usado por spammer, o ip é nacional ou então o ip do servidor caso seja o script. Para estes casos você apenas suspende a conta. Em relação ao firewall, eu configurei para que emails do CSF sejam encaminhados para um email da empresa onde quem trabalha recebe a notificação. Neste caso basta ver o conteúdo do email e suspender a conta. Eu inclusive configurei meu smartphone para receber uma cópia. Eu uso o redirecionamento por palavras chaves de emails recebidos e recebo cópia dos emails mais importantes enviados pelo CSF. Esse link abaixo informa como bloquear as portas para ips internacionais e o hulk também protege a smtp ( antigamente não afetava o smtp mas hoje em dia sim ). Se vc estiver usando o cpanel muito antigo então isso não irá proteger o smtp. Abraços ! 0 Quote Link to comment Share on other sites More sharing options...
MyWay Hosting Posted September 19, 2014 Share Posted September 19, 2014 Olá Jorge para completar. A opção no firewall que bloqueia o ip que usa smtp autenticado para enviar emails em massa é RT_AUTHRELAY_LIMIT = 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.