Clicky

Jump to content
  • Sign Up
Sign in to follow this  
juliocsc

Me ajudem a identificar se

Recommended Posts

Me ajudem a identificar se meu servidor esta enviando spam.

Um cliente, recebe dele mesmo um e-mail com link para um vírus.

De: apelido@meucliente.

Para: apelido@meucliente.

 

Cabeçalho do e-mail:

 

Return-path: <www-data@159.122.20.41>
Envelope-to: apelido@meucliente.com.br
Delivery-date: Fri, 28 Aug 2015 04:41:49 -0300
Received: from 159.122.20.41-static.reverse.softlayer.com ([159.122.20.41]:40249 helo=goia5.prefeitura.com.br)
by linkdomeuservidor.com with esmtp (Exim 4.85)
(envelope-from <www-data@159.122.20.41>)
id 1ZVEGI-000RRI-Mk
for apelido@meucliente.com.br; Fri, 28 Aug 2015 04:41:47 -0300
Received: by goia5.prefeitura.com.br (Postfix, from userid 33)
id C3CCE6825B; Fri, 28 Aug 2015 02:39:50 -0500 (CDT)
To: apelido@meucliente.com.br
Subject: EXTRAJUDICIAL NOTIFICAO - [ 152456230483 ]
X-PHP-Originating-Script: 0:imo30.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <apelido@meucliente.com.br
>
Message-Id: <20150828073950.C3CCE6825B@goia5.prefeitura.com.br>
Date: Fri, 28 Aug 2015 02:39:50 -0500 (CDT)

Share this post


Link to post
Share on other sites

Inicialmente seu cliente deve fazer uma varredura no desktop. Em casos como este, geralmente mensagem está sendo enviada pelo próprio cliente de e-mail.

Também é válido perder alguns minutos depurando o mailog do postfix, para ver se este envio tem como origem algum arquivo vulnerável em seu servidor.

  • Like 1

Share this post


Link to post
Share on other sites

Se esse ip não é do seu servidor, então outro servidor esta enviando e-mail e ele esta colocando o email do seu cliente como Remetente no cliente de e-mail usado. Apenas  isso.

  • Like 1

WebChamp - Hospedagem de Sites SSD, Revenda de Hospedagem SSD, Revenda de VPS, Servidores Virtuais  (OpenVZ / VMware / KVM). Novos planos VPS no Brasil.

Dicas Linux - Seu portal com dicas e tutoriais Linux.

Share this post


Link to post
Share on other sites

Isso está cheirando a spoof de e-mail.
Veja que há um script php que está fazendo o envio: X-PHP-Originating-Script: 0:imo30.php

Algo que você pode verificar, é acessar via shell e rodar:

1.- updatedb
2.- locate ino30.php

Se esse arquivo estiver no servidor ele localizará, no caso dê um cat path/destino/arquivo.php e veja o que tem dentro.
Caso encontre algumas informações criptografadas você pode excluir o arquivo, utilizar chattr e/ou chmod 000 no arquivo e ficar monitorando se o mesmo ainda é executado por algum cliente/conta no seu servidor.

 


OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...