Jump to content

"Relay", "Script Alert", "AUTHRELAY", "LOCALRELAY" e SPAM


eloimarquessilva

Recommended Posts

Colegas,

estou com a seguinte duvida sobre "Relay", "Script Alert", "AUTHRELAY", "LOCALRELAY" e SPAM:

 

Recentemente um cliente teve o site "invadido" (o que, ainda bem, é pouco comum conosco) e recebi o alerta LOCALRELAY e na sequencia um "Script Alert" com o path do script "malvado".

 

"Script Alert":

 

Para o "Script Alert" sei que o CSF dispõem da opção para "bloquear" o script via chmod mas recomenda cuidado com esta opção pois pode ferrar com o SO.

 

LOCALRELAY:

 

Sobre o "LOCALRELAY" o CSF ou cPanel não tem nenhuma opção de bloqueio automático, apenas o alerta.

 

"AUTHRELAY":

 

Por fim, ja algum tempo eu percebi (da pior forma possível) que o limite de envio de e-mails por hora (do cPanel) não funciona para mensagens "relay" (retransmitidas) ou seja se o domínio tem um limite de 300 mensagens por hora e o cara mandar 100 mensagens (cada uma) com copia (cc, bcc etc) para outros 100 e-mails vai sair do seu servidor ao todo 10.000 sem que o usuário seja bloqueado pelo cPanel por exceder o limite de 300 mensagens por hora. Neste caso é possível ativar o bloqueio "AUTHRELAY" do CSF e/ou limitar o "Maximum message recipients" soft ou hard (quando abaixo de 100 "fere" a RFCs) pelo cPanel (exim)

 

Gostaria de saber como vocês lidam com estes tipos de problemas. Qual tipo de configuração do CSF, Exim e cPanel vocês aplicam aos seus servidores para limitar ao máximo o envio de spam (autenticado ou por scripts maliciosos) e como é a rotina de monitoramento de vocês quanto a isso.

 

Desde já agradeço.

Link to comment
Share on other sites

A minha solução foi um pouco diferente.

 

Eu aceitava PayPal como forma de pagamento, logo atraia umas contas que efetuava assinatura apenas para envio de spam, o sujeito pagava com um cartão clonado, o serviço era liberado e ele começava a disparar spam. Mesmo que você identifique 10min depois, ele já enviou um número alto de emails que provavelmente vai mandar o IP para alguma blacklist.

Solução: Desativei o PayPal, apenas os clientes antigos podem fazer pagamento pelo mesmo

 

Outra coisa que acontecia era clientes com contas invadidas, a solução para esse caso foi configurar os servidores com php no safe_mode, restringir o uso de php.ini e desativar funções como:

symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode,

Uma vez ou outra mandamos e-mails aos clientes com dicas de segurança, para os que tenham CMS, que mantenham sempre atualizados, etc, etc.

 

Com isso o número de invasões diminuiu bastante, diminuindo as contas disparando spam.

 

bloquear o php.ini, ativar o safe_mode e desabilitar as funções acima deram um bom resultado, pois toda vez que o cliente tinha uma conta invadida, a gente pegava o arquivo que o invasor utilizou e estudávamos eles, testes com configurações diferentes, etc. Não adianta apenas ligar o safe_mode, pois ele pode criar um php.ini e desabilitar o safe_mode para aquela conta.

 

Para proteger conta upload de arquivos suspeitos pelo cPanel usamos o ClamAV, além do maldet para fazer varreduras diarias nas contas.

Link to comment
Share on other sites

A minha solução foi um pouco diferente.

 

Eu aceitava PayPal como forma de pagamento, logo atraia umas contas que efetuava assinatura apenas para envio de spam, o sujeito pagava com um cartão clonado, o serviço era liberado e ele começava a disparar spam. Mesmo que você identifique 10min depois, ele já enviou um número alto de emails que provavelmente vai mandar o IP para alguma blacklist.

Solução: Desativei o PayPal, apenas os clientes antigos podem fazer pagamento pelo mesmo

 

Outra coisa que acontecia era clientes com contas invadidas, a solução para esse caso foi configurar os servidores com php no safe_mode, restringir o uso de php.ini e desativar funções como:

symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode,

Uma vez ou outra mandamos e-mails aos clientes com dicas de segurança, para os que tenham CMS, que mantenham sempre atualizados, etc, etc.

 

Com isso o número de invasões diminuiu bastante, diminuindo as contas disparando spam.

 

bloquear o php.ini, ativar o safe_mode e desabilitar as funções acima deram um bom resultado, pois toda vez que o cliente tinha uma conta invadida, a gente pegava o arquivo que o invasor utilizou e estudávamos eles, testes com configurações diferentes, etc. Não adianta apenas ligar o safe_mode, pois ele pode criar um php.ini e desabilitar o safe_mode para aquela conta.

 

Para proteger conta upload de arquivos suspeitos pelo cPanel usamos o ClamAV, além do maldet para fazer varreduras diarias nas contas.

 

Luciana eu te sugiro usar o cloudlinux com o cagefs, além dos itens acima.

Link to comment
Share on other sites

Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay

Além disso você pode fazer com que o servidor lhe envie para seu celular um alerta de uso de Relay e então você suspende a conta, se necessário.

Quando o firewall bloquear o IP, o spammer pode tentar conectar a partir de outro IP para enviar mais emails portanto você deve fazer com que receba alertas em seu celular afim de bloquear a conta nestes casos. Spammers comuns que enviam a partir de um só IP, desistem quando tem o Ip bloqueado via CSF.

Abraços !

Link to comment
Share on other sites

Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay

Além disso você pode fazer com que o servidor lhe envie para seu celular um alerta de uso de Relay e então você suspende a conta, se necessário.

Quando o firewall bloquear o IP, o spammer pode tentar conectar a partir de outro IP para enviar mais emails portanto você deve fazer com que receba alertas em seu celular afim de bloquear a conta nestes casos. Spammers comuns que enviam a partir de um só IP, desistem quando tem o Ip bloqueado via CSF.

Abraços !

 

 

Marcelo, como faz isso? "Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay"  estou com o mesmo problema que nosso amigo .

 www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY

Link to comment
Share on other sites

Marcelo, como faz isso? "Você pode tunar o firewall para bloquear o IP que conecta ao smtp e envia as mensagens em massa via relay"  estou com o mesmo problema que nosso amigo .

Oi Jorge

 

pode estar havendo o envio de 2 formas. Como você percebeu, isso é envio com autenticação smtp

 

1) Algum script que teu cliente usa e que conecte ao email com senha para envio de emails. Então esse script tem falhas de segurança e um spammer usa para enviar emais. 

 

2) Algum cliente enviando emails em massa ou email hackeado.

 

Na sua grande maioria é envio por email hackeado ( senha de email ) e em 95% dos casos por ips internacionais.

 

Usando o hulk você pode bloquear o acesso ao smtp para ips estrangeiros e isso irá barrar esse problema

 

Já se é um cliente enviando emails em massa ou então algum script com autenticação smtp sendo usado por spammer, o ip é nacional ou então o ip do servidor caso seja o script. 

 

Para estes casos você apenas suspende a conta.

 

Em relação ao firewall, eu configurei para que emails do CSF sejam encaminhados para um email da empresa onde quem trabalha recebe a notificação. Neste caso basta ver o conteúdo do email e suspender a conta. Eu inclusive configurei meu smartphone para receber uma cópia. 

 

Eu uso o redirecionamento por palavras chaves de emails recebidos e recebo cópia dos emails mais importantes enviados pelo CSF.

 

Esse link abaixo informa como bloquear as portas para ips internacionais e o hulk também protege a smtp ( antigamente não afetava o smtp mas hoje em dia sim ).

 

 

Se vc estiver usando o cpanel muito antigo então isso não irá proteger o smtp.

 

Abraços !

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?