Ir para conteúdo
  • Cadastre-se

Me ajudem a identificar se

juliocsc

Por juliocsc
em Servidores Dedicados

 Compartilhar

Posts Recomendados

juliocsc

juliocsc

Postado
Postado

Me ajudem a identificar se meu servidor esta enviando spam.

Um cliente, recebe dele mesmo um e-mail com link para um vírus.

De: apelido@meucliente.

Para: apelido@meucliente.

 

Cabeçalho do e-mail:

 

Return-path: <www-data@159.122.20.41>
Envelope-to: apelido@meucliente.com.br
Delivery-date: Fri, 28 Aug 2015 04:41:49 -0300
Received: from 159.122.20.41-static.reverse.softlayer.com ([159.122.20.41]:40249 helo=goia5.prefeitura.com.br)
by linkdomeuservidor.com with esmtp (Exim 4.85)
(envelope-from <www-data@159.122.20.41>)
id 1ZVEGI-000RRI-Mk
for apelido@meucliente.com.br; Fri, 28 Aug 2015 04:41:47 -0300
Received: by goia5.prefeitura.com.br (Postfix, from userid 33)
id C3CCE6825B; Fri, 28 Aug 2015 02:39:50 -0500 (CDT)
To: apelido@meucliente.com.br
Subject: EXTRAJUDICIAL NOTIFICAO - [ 152456230483 ]
X-PHP-Originating-Script: 0:imo30.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <apelido@meucliente.com.br
>
Message-Id: <20150828073950.C3CCE6825B@goia5.prefeitura.com.br>
Date: Fri, 28 Aug 2015 02:39:50 -0500 (CDT)

0
Link para o comentário
Compartilhar em outros sites
lyra

lyra

Postado
Postado

Inicialmente seu cliente deve fazer uma varredura no desktop. Em casos como este, geralmente mensagem está sendo enviada pelo próprio cliente de e-mail.

Também é válido perder alguns minutos depurando o mailog do postfix, para ver se este envio tem como origem algum arquivo vulnerável em seu servidor.

1
Link para o comentário
Compartilhar em outros sites
  • Administração
NullRoute

NullRoute

Postado
  • Administração
Postado

Isso está cheirando a spoof de e-mail.
Veja que há um script php que está fazendo o envio: X-PHP-Originating-Script: 0:imo30.php

Algo que você pode verificar, é acessar via shell e rodar:

1.- updatedb
2.- locate ino30.php

Se esse arquivo estiver no servidor ele localizará, no caso dê um cat path/destino/arquivo.php e veja o que tem dentro.
Caso encontre algumas informações criptografadas você pode excluir o arquivo, utilizar chattr e/ou chmod 000 no arquivo e ficar monitorando se o mesmo ainda é executado por algum cliente/conta no seu servidor.

 

0

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept