Pessoal estou com o seguinte problema:

 

Tenho um dedicado e algo/algum está enviando emails de todas contas. user@hostname

 

Alguma ideia?

 

Att.

Olá Victor

 

a conta afetada é justamente do user que aparece no hostname. Isso você está vendo no queue correto ?

 

Agora, para saber como está sendo feito o envio, seja por um formulário hackeado ou então por um script na conta com problemas, você pode fazer o seguinte

 

cd /var/log/

 

grep sendmail exim_mainlog > lixo.txt

 

Depois edite o lixo.txt com um pico lixo.txt ou seu editor preferido.

 

Então vasculhe nesse lixo a fonte da onde estão partindo os emails.

 

Há ainda outras formas de envio de emails que não seja via sendmail, neste caso abra essa página no queue e verifique se tem um auth_id junto com o header da mensagem. Desta forma alem de saber o nome do domínio você saberá qual email deste domínio apresenta problemas. Se for o caso isso pode ocorrer por roubo de senha de email, computador com vírus e etc.

 

Eu recomendo bloquear  a autenticação do smtp e pop para ips internacionais e assim terá uma camada maior de segurança

 

Abraços.

Eu recomendo bloquear  a autenticação do smtp e pop para ips internacionais e assim terá uma camada maior de segurança

 

 

como fazer isso no cpanel?

Olá Victor

O bloqueio é feito via CPHULK

ANTES DISSO COLOQUE SEU IP NA WHITELIST do CPHULK para não perder conexão com o WHM. Caso contrário precisará desativar o HULK via SSH

1) Em primeiro lugar precisara ativar o cp hulk e bloquear TODOS IPS DO MUNDO COM o que tem abaixo

Isso você irá colocar na blacklist du hulk

1.0.0.0/8

2.0.0.0/8

3.0.0.0/8

... até

256.0.0.0/8

Após isso você irá abrir para os ips nacionais, copiando o resultado desta pesquisa para dentro da whitelist

Copie e cole estas duas linhas no ssh, pode ser lá na tmp se preferir.

wget ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest -O IpsBrasil.txt

cat IpsBrasil.txt | /bin/grep ipv4 | /bin/grep BR | /usr/bin/awk -F '|' {'print $4 "/" 32-(log($5)/log(2))'} > IpsBrasilFinal.txt

O resultado dos ips nacionais serão exportado para IpsBrasilFinal.txt

Então você copia isso e coloca dentro da whitelist do hulk

Coloca também 127.0.0.1 para que o WEBMAIL funcione

Com isso você permitirá apenas que ips brasileiros conectem a

smpt, pop, cpanel, whm e qualquer outro serviço do cpanel que requeira user e senha como webmail e etc.

Abraços !

Olá Bruno

 

eu atualizei o comentário. Da um refresh.

 

QQ dúvida atualiza este tópico que lhe ajudo.

 

Abraços !

essa forma que você indicou é mais eficiente que o bloquei via CSF?

Sim, visto que o CSF tende a quebrar quando existem muitas regras de bloqueio.

Se você colocar uma lista extensa no CSF ele para de funcionar e você ficará com o firewall desativado.

O hulk é melhor para isso. Utilizamos aqui na empresa e diminuiu significativamente invasões por senhas roubadas. Já adotamos este procedimento desde 2008.

Antes disso era comum sites serem hackeados via user e senha, subdominios criados por hackers principalmente internacionais. Clientes tem senhas roubadas mais seguidamente do que se pensa. Subdominios como paypal, americanexpress eram criados com mais frequencia. Hoje em dia é raro.

Valeu MyWay!

estou com o mesmo problema, não sei como aconteci estou recenbo bloqueio do DC dizendo que estão sendo enviando eamils assim: 2b9cc66-9772b-33@dominoidocliente.com.br como resolvo isso!

 

 

Alguem pode me ajudar començou a alguns dias atraz nunca tinha acontecido isso.

@MyWay Hosting, olá estou recebendo aviso do DC assim 2b9cc66-9772b-33@meucliente.com.br como resolvo isso ja bloquearam a aporta de saida do meu servidor estou tendo serios problemas.