juliocsc Posted August 28, 2015 Share Posted August 28, 2015 Me ajudem a identificar se meu servidor esta enviando spam. Um cliente, recebe dele mesmo um e-mail com link para um vírus. De: apelido@meucliente. Para: apelido@meucliente. Cabeçalho do e-mail: Return-path: <www-data@159.122.20.41>Envelope-to: apelido@meucliente.com.brDelivery-date: Fri, 28 Aug 2015 04:41:49 -0300Received: from 159.122.20.41-static.reverse.softlayer.com ([159.122.20.41]:40249 helo=goia5.prefeitura.com.br)by linkdomeuservidor.com with esmtp (Exim 4.85)(envelope-from <www-data@159.122.20.41>)id 1ZVEGI-000RRI-Mkfor apelido@meucliente.com.br; Fri, 28 Aug 2015 04:41:47 -0300Received: by goia5.prefeitura.com.br (Postfix, from userid 33)id C3CCE6825B; Fri, 28 Aug 2015 02:39:50 -0500 (CDT)To: apelido@meucliente.com.brSubject: EXTRAJUDICIAL NOTIFICAO - [ 152456230483 ]X-PHP-Originating-Script: 0:imo30.phpMIME-Version: 1.0Content-type: text/html; charset=iso-8859-1From: <apelido@meucliente.com.br>Message-Id: <20150828073950.C3CCE6825B@goia5.prefeitura.com.br>Date: Fri, 28 Aug 2015 02:39:50 -0500 (CDT) 0 Quote Link to comment Share on other sites More sharing options...
Guest Posted August 28, 2015 Share Posted August 28, 2015 O IP do seu servidor é 159.122.20.41? 0 Quote Link to comment Share on other sites More sharing options...
lyra Posted August 28, 2015 Share Posted August 28, 2015 Inicialmente seu cliente deve fazer uma varredura no desktop. Em casos como este, geralmente mensagem está sendo enviada pelo próprio cliente de e-mail. Também é válido perder alguns minutos depurando o mailog do postfix, para ver se este envio tem como origem algum arquivo vulnerável em seu servidor. 1 Quote Link to comment Share on other sites More sharing options...
Yoshihiro Posted August 28, 2015 Share Posted August 28, 2015 Tive esse mesmo problema, trocamos as senhas dos e-mails afetados e à princípio funcionou (já fazem 3 meses). Mas como o @lyra disse, é bom verificar o mailog 1 Quote Link to comment Share on other sites More sharing options...
juliocsc Posted August 28, 2015 Author Share Posted August 28, 2015 O IP do seu servidor é 159.122.20.41? Não, este não é o ip do meu servidor. 0 Quote Link to comment Share on other sites More sharing options...
Andre Juliano Posted August 28, 2015 Share Posted August 28, 2015 Se esse ip não é do seu servidor, então outro servidor esta enviando e-mail e ele esta colocando o email do seu cliente como Remetente no cliente de e-mail usado. Apenas isso. 1 Quote Link to comment Share on other sites More sharing options...
owsbr Posted September 1, 2015 Share Posted September 1, 2015 Isso está cheirando a spoof de e-mail.Veja que há um script php que está fazendo o envio: X-PHP-Originating-Script: 0:imo30.php Algo que você pode verificar, é acessar via shell e rodar: 1.- updatedb2.- locate ino30.php Se esse arquivo estiver no servidor ele localizará, no caso dê um cat path/destino/arquivo.php e veja o que tem dentro.Caso encontre algumas informações criptografadas você pode excluir o arquivo, utilizar chattr e/ou chmod 000 no arquivo e ficar monitorando se o mesmo ainda é executado por algum cliente/conta no seu servidor. 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.