Email Spoofing

[LeandroRS]

Aí é que você se engana, com a popularidade do wordpress, principalmente a utilização de temas/plugins nulled ou vulneráveis, é prato cheio p/ spammers!

 

Você possui CXS ou mesmo clamscan?

 

Tenta utilizar

find /var/www/ -type f -iname ?.php -uid 0
grep "kpemetnqphvccl8l3wleh.php" /var/log/apache2/access.log

 

Obrigado amigo... veja:

root@serv [~]# find /var/www/ -type f -iname ?.php -uid 0

find: `/var/www/': No such file or directory

root@serv [~]# grep "kpemetnqphvccl8l3wleh.php" /var/log/apache2/access.log

grep: /var/log/apache2/access.log: No such file or directory

root@serv [~]#

Sobre os temas nulled do Wordpress, não é o meu caso.

Comprei na SiliconAction o Artisteer há 3 anos (renovo a licença anualmente por 50% do valor) e eu mesmo crio meus templates.

Mas, já testei tais versões para saber as funcionalidades de alguns templates pagos antes de comprar, mas não neste servidor.

Não tenho o ConfigServer eXploit Scanner (cxs) (pago, não?) e também não tenho o ClamScan.

Já instalei o ClamAV para "vasculhar" o servidor, mas nunca achei nada e depois, resolvi desativá-lo para poupar recursos. É interessante deixá-lo ativado?

--- editado ---

Instalei novamente o ClamAV e passei-o no sistema através do comando "#/usr/local/cpanel/3rdparty/bin/clamscan -r –remove /home" e o retorno foi:

----------- SCAN SUMMARY -----------

Known viruses: 3734017

Engine version: 0.98.4

Scanned directories: 13152

Scanned files: 98815

Infected files: 0

Data scanned: 3965.95 MB

Data read: 3338.69 MB (ratio 1.19:1)

Time: 1579.300 sec (26 m 19 s)

Devo usar outro comando?

[LeandroRS]

Amigos, acho que entendi como funciona o SPF... na verdade, alguns domínios já tinham tal configuração.

Fui em WHM > Funções DNS > Editar Zona DNS > e escolhi um a um todos os domínios adicionando:

exemplo.com.br. | 14400 | TXT | "v=spf1 ip4:0.0.0.0 +a +mx + -all"

Onde exemplo.com.br era o domínio e 0.0.0.0 era o IP do meu servidor. Está correto?

 

Agora percebi que alguns domínios possuem "default._domainkey" com a informação "v=DKIM1; k=rsa; p=....;" onde neste ... há um código enorme.

 

Devo adicionar este último item a todos os domínios também?

 

Obrigado ;-)

[RobertSP]

Olá, você está indo no chute, recomendo reavaliar o processo de gerenciamento de seus servidores e contratar alguém especializado. Pois é necessário ter acesso a sua máquina para analisar melhor o que ocorre.

[LeandroRS]

Ah, detectei um errinho ali encima... correto:

exemplo.com.br. | 14400 | TXT | "v=spf1 ip4:0.0.0.0 +a +mx -all"

 

Tinha um "+" sobrando... rs.

 

Então amigos, sobre o DKIM, alguém pode me dar algumas dicas?

[tvoltolini]

@Leandro dos Santos relaxa, esses emails que você está recebendo de fato não estão saindo do teu servidor nem da tua máquina local:

 

Received: from [23.97.194.64] (port=1120 helo=live.com)

 

Os emails estão sendo disparados desse IP aí. Talvez a configuração do SPF te ajude, mas teu servidor tem que estar configurado pra consultar SPF e negar a mensagem quando houver erro, caso contrário continuará recebendo.

De qualquer forma, não é um problema com o teu servidor, nem malware, nem vulnerabilidade como foi mencionado. Isso é bem comum na verdade, e bem simples, o remetente só seta o FROM da mensagem para ser igual ao destinatário.

[LeandroRS]

@Leandro dos Santos relaxa, esses emails que você está recebendo de fato não estão saindo do teu servidor nem da tua máquina local:

 

Received: from [23.97.194.64] (port=1120 helo=live.com)

 

Os emails estão sendo disparados desse IP aí. Talvez a configuração do SPF te ajude, mas teu servidor tem que estar configurado pra consultar SPF e negar a mensagem quando houver erro, caso contrário continuará recebendo.

De qualquer forma, não é um problema com o teu servidor, nem malware, nem vulnerabilidade como foi mencionado. Isso é bem comum na verdade, e bem simples, o remetente só seta o FROM da mensagem para ser igual ao destinatário.

 

Obrigado pela ajuda, caro amigo.

 

Pois é, depois do que falamos aqui, passei o ClamAV e o Linux Malware Detect e ambos não detectaram nada. Já uso também o CSF (firewall) cujo score está bem satisfatório quando mando analisar o servidor.

 

Sobre o SPF, acho que consegui configurar direitinho. Só preciso acertar o "template" para quando criar novas contas, setar automaticamente o SPF.

 

Sobre o DKIM, estou à procura de um tutorial para saber melhor a respeito de como usá-lo.

 

Obrigado mais uma vez ;-)