juliocsc #1 Posted August 28, 2015 Me ajudem a identificar se meu servidor esta enviando spam. Um cliente, recebe dele mesmo um e-mail com link para um vírus. De: apelido@meucliente. Para: apelido@meucliente. Cabeçalho do e-mail: Return-path: <www-data@159.122.20.41>Envelope-to: apelido@meucliente.com.brDelivery-date: Fri, 28 Aug 2015 04:41:49 -0300Received: from 159.122.20.41-static.reverse.softlayer.com ([159.122.20.41]:40249 helo=goia5.prefeitura.com.br)by linkdomeuservidor.com with esmtp (Exim 4.85)(envelope-from <www-data@159.122.20.41>)id 1ZVEGI-000RRI-Mkfor apelido@meucliente.com.br; Fri, 28 Aug 2015 04:41:47 -0300Received: by goia5.prefeitura.com.br (Postfix, from userid 33)id C3CCE6825B; Fri, 28 Aug 2015 02:39:50 -0500 (CDT)To: apelido@meucliente.com.brSubject: EXTRAJUDICIAL NOTIFICAO - [ 152456230483 ]X-PHP-Originating-Script: 0:imo30.phpMIME-Version: 1.0Content-type: text/html; charset=iso-8859-1From: <apelido@meucliente.com.br>Message-Id: <20150828073950.C3CCE6825B@goia5.prefeitura.com.br>Date: Fri, 28 Aug 2015 02:39:50 -0500 (CDT) Quote Share this post Link to post Share on other sites
Rodrigo Baldasso #2 Posted August 28, 2015 O IP do seu servidor é 159.122.20.41? 1 Quote Share this post Link to post Share on other sites
lyra #3 Posted August 28, 2015 Inicialmente seu cliente deve fazer uma varredura no desktop. Em casos como este, geralmente mensagem está sendo enviada pelo próprio cliente de e-mail. Também é válido perder alguns minutos depurando o mailog do postfix, para ver se este envio tem como origem algum arquivo vulnerável em seu servidor. 1 Quote Share this post Link to post Share on other sites
Yoshihiro #4 Posted August 28, 2015 Tive esse mesmo problema, trocamos as senhas dos e-mails afetados e à princípio funcionou (já fazem 3 meses). Mas como o @lyra disse, é bom verificar o mailog 1 Quote Share this post Link to post Share on other sites
juliocsc Autor do tópico #5 Posted August 28, 2015 O IP do seu servidor é 159.122.20.41? Não, este não é o ip do meu servidor. Quote Share this post Link to post Share on other sites
Andre Juliano #6 Posted August 28, 2015 Se esse ip não é do seu servidor, então outro servidor esta enviando e-mail e ele esta colocando o email do seu cliente como Remetente no cliente de e-mail usado. Apenas isso. 1 Quote WebChamp - Hospedagem de Sites SSD, Revenda de Hospedagem SSD, Revenda de VPS, Servidores Virtuais (OpenVZ / VMware / KVM). Novos planos VPS no Brasil. Dicas Linux - Seu portal com dicas e tutoriais Linux. Share this post Link to post Share on other sites
owsbr #7 Posted September 1, 2015 Isso está cheirando a spoof de e-mail.Veja que há um script php que está fazendo o envio: X-PHP-Originating-Script: 0:imo30.php Algo que você pode verificar, é acessar via shell e rodar: 1.- updatedb2.- locate ino30.php Se esse arquivo estiver no servidor ele localizará, no caso dê um cat path/destino/arquivo.php e veja o que tem dentro.Caso encontre algumas informações criptografadas você pode excluir o arquivo, utilizar chattr e/ou chmod 000 no arquivo e ficar monitorando se o mesmo ainda é executado por algum cliente/conta no seu servidor. Quote OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br Share this post Link to post Share on other sites
