Jump to content

SPAM Servidor


Victor12550

Recommended Posts

Olá Victor

 

a conta afetada é justamente do user que aparece no hostname. Isso você está vendo no queue correto ?

 

Agora, para saber como está sendo feito o envio, seja por um formulário hackeado ou então por um script na conta com problemas, você pode fazer o seguinte

 

cd /var/log/

 

grep sendmail exim_mainlog > lixo.txt

 

Depois edite o lixo.txt com um pico lixo.txt ou seu editor preferido.

 

Então vasculhe nesse lixo a fonte da onde estão partindo os emails.

 

Há ainda outras formas de envio de emails que não seja via sendmail, neste caso abra essa página no queue e verifique se tem um auth_id junto com o header da mensagem. Desta forma alem de saber o nome do domínio você saberá qual email deste domínio apresenta problemas. Se for o caso isso pode ocorrer por roubo de senha de email, computador com vírus e etc.

 

Eu recomendo bloquear  a autenticação do smtp e pop para ips internacionais e assim terá uma camada maior de segurança

 

Abraços.

Link to comment
Share on other sites

Olá Victor

O bloqueio é feito via CPHULK

ANTES DISSO COLOQUE SEU IP NA WHITELIST do CPHULK para não perder conexão com o WHM. Caso contrário precisará desativar o HULK via SSH

1) Em primeiro lugar precisara ativar o cp hulk e bloquear TODOS IPS DO MUNDO COM o que tem abaixo

Isso você irá colocar na blacklist du hulk

1.0.0.0/8

2.0.0.0/8

3.0.0.0/8

... até

256.0.0.0/8

Após isso você irá abrir para os ips nacionais, copiando o resultado desta pesquisa para dentro da whitelist

Copie e cole estas duas linhas no ssh, pode ser lá na tmp se preferir.

wget ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest -O IpsBrasil.txt

cat IpsBrasil.txt | /bin/grep ipv4 | /bin/grep BR | /usr/bin/awk -F '|' {'print $4 "/" 32-(log($5)/log(2))'} > IpsBrasilFinal.txt

O resultado dos ips nacionais serão exportado para IpsBrasilFinal.txt

Então você copia isso e coloca dentro da whitelist do hulk

Coloca também 127.0.0.1 para que o WEBMAIL funcione

Com isso você permitirá apenas que ips brasileiros conectem a

smpt, pop, cpanel, whm e qualquer outro serviço do cpanel que requeira user e senha como webmail e etc.

Abraços !

Link to comment
Share on other sites

Sim, visto que o CSF tende a quebrar quando existem muitas regras de bloqueio.

Se você colocar uma lista extensa no CSF ele para de funcionar e você ficará com o firewall desativado.

O hulk é melhor para isso. Utilizamos aqui na empresa e diminuiu significativamente invasões por senhas roubadas. Já adotamos este procedimento desde 2008.

Antes disso era comum sites serem hackeados via user e senha, subdominios criados por hackers principalmente internacionais. Clientes tem senhas roubadas mais seguidamente do que se pensa. Subdominios como paypal, americanexpress eram criados com mais frequencia. Hoje em dia é raro.

Link to comment
Share on other sites

estou com o mesmo problema, não sei como aconteci estou recenbo bloqueio do DC dizendo que estão sendo enviando eamils assim: 2b9cc66-9772b-33@dominoidocliente.com.br como resolvo isso!

 

 

Alguem pode me ajudar començou a alguns dias atraz nunca tinha acontecido isso.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?