Jump to content

Me ajudem a identificar se


juliocsc
 Share

Recommended Posts

Me ajudem a identificar se meu servidor esta enviando spam.

Um cliente, recebe dele mesmo um e-mail com link para um vírus.

De: apelido@meucliente.

Para: apelido@meucliente.

 

Cabeçalho do e-mail:

 

Return-path: <www-data@159.122.20.41>
Envelope-to: apelido@meucliente.com.br
Delivery-date: Fri, 28 Aug 2015 04:41:49 -0300
Received: from 159.122.20.41-static.reverse.softlayer.com ([159.122.20.41]:40249 helo=goia5.prefeitura.com.br)
by linkdomeuservidor.com with esmtp (Exim 4.85)
(envelope-from <www-data@159.122.20.41>)
id 1ZVEGI-000RRI-Mk
for apelido@meucliente.com.br; Fri, 28 Aug 2015 04:41:47 -0300
Received: by goia5.prefeitura.com.br (Postfix, from userid 33)
id C3CCE6825B; Fri, 28 Aug 2015 02:39:50 -0500 (CDT)
To: apelido@meucliente.com.br
Subject: EXTRAJUDICIAL NOTIFICAO - [ 152456230483 ]
X-PHP-Originating-Script: 0:imo30.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <apelido@meucliente.com.br
>
Message-Id: <20150828073950.C3CCE6825B@goia5.prefeitura.com.br>
Date: Fri, 28 Aug 2015 02:39:50 -0500 (CDT)

Link to comment
Share on other sites

Inicialmente seu cliente deve fazer uma varredura no desktop. Em casos como este, geralmente mensagem está sendo enviada pelo próprio cliente de e-mail.

Também é válido perder alguns minutos depurando o mailog do postfix, para ver se este envio tem como origem algum arquivo vulnerável em seu servidor.

Link to comment
Share on other sites

Isso está cheirando a spoof de e-mail.
Veja que há um script php que está fazendo o envio: X-PHP-Originating-Script: 0:imo30.php

Algo que você pode verificar, é acessar via shell e rodar:

1.- updatedb
2.- locate ino30.php

Se esse arquivo estiver no servidor ele localizará, no caso dê um cat path/destino/arquivo.php e veja o que tem dentro.
Caso encontre algumas informações criptografadas você pode excluir o arquivo, utilizar chattr e/ou chmod 000 no arquivo e ficar monitorando se o mesmo ainda é executado por algum cliente/conta no seu servidor.

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...