Jump to content

Me ajudem a identificar se

juliocsc

By juliocsc
in Servidores Dedicados

 Share

Recommended Posts

juliocsc

juliocsc

Posted
Posted

Me ajudem a identificar se meu servidor esta enviando spam.

Um cliente, recebe dele mesmo um e-mail com link para um vírus.

De: apelido@meucliente.

Para: apelido@meucliente.

 

Cabeçalho do e-mail:

 

Return-path: <www-data@159.122.20.41>
Envelope-to: apelido@meucliente.com.br
Delivery-date: Fri, 28 Aug 2015 04:41:49 -0300
Received: from 159.122.20.41-static.reverse.softlayer.com ([159.122.20.41]:40249 helo=goia5.prefeitura.com.br)
by linkdomeuservidor.com with esmtp (Exim 4.85)
(envelope-from <www-data@159.122.20.41>)
id 1ZVEGI-000RRI-Mk
for apelido@meucliente.com.br; Fri, 28 Aug 2015 04:41:47 -0300
Received: by goia5.prefeitura.com.br (Postfix, from userid 33)
id C3CCE6825B; Fri, 28 Aug 2015 02:39:50 -0500 (CDT)
To: apelido@meucliente.com.br
Subject: EXTRAJUDICIAL NOTIFICAO - [ 152456230483 ]
X-PHP-Originating-Script: 0:imo30.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <apelido@meucliente.com.br
>
Message-Id: <20150828073950.C3CCE6825B@goia5.prefeitura.com.br>
Date: Fri, 28 Aug 2015 02:39:50 -0500 (CDT)

0

lyra

lyra

Posted
Posted

Inicialmente seu cliente deve fazer uma varredura no desktop. Em casos como este, geralmente mensagem está sendo enviada pelo próprio cliente de e-mail.

Também é válido perder alguns minutos depurando o mailog do postfix, para ver se este envio tem como origem algum arquivo vulnerável em seu servidor.

1
Andre Juliano

Andre Juliano

Posted
Posted

Se esse ip não é do seu servidor, então outro servidor esta enviando e-mail e ele esta colocando o email do seu cliente como Remetente no cliente de e-mail usado. Apenas  isso.

1

WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).

  • Administration
NullRoute

NullRoute

Posted
  • Administration
Posted

Isso está cheirando a spoof de e-mail.
Veja que há um script php que está fazendo o envio: X-PHP-Originating-Script: 0:imo30.php

Algo que você pode verificar, é acessar via shell e rodar:

1.- updatedb
2.- locate ino30.php

Se esse arquivo estiver no servidor ele localizará, no caso dê um cat path/destino/arquivo.php e veja o que tem dentro.
Caso encontre algumas informações criptografadas você pode excluir o arquivo, utilizar chattr e/ou chmod 000 no arquivo e ficar monitorando se o mesmo ainda é executado por algum cliente/conta no seu servidor.

 

0

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?

  I accept
-