Ir para conteúdo

Me ajudem a identificar se

Por juliocsc
em Servidores Dedicados

Featured Replies

Postado

Me ajudem a identificar se meu servidor esta enviando spam.

Um cliente, recebe dele mesmo um e-mail com link para um vírus.

De: apelido@meucliente.

Para: apelido@meucliente.

 

Cabeçalho do e-mail:

 

Return-path: <www-data@159.122.20.41>
Envelope-to: apelido@meucliente.com.br
Delivery-date: Fri, 28 Aug 2015 04:41:49 -0300
Received: from 159.122.20.41-static.reverse.softlayer.com ([159.122.20.41]:40249 helo=goia5.prefeitura.com.br)
by linkdomeuservidor.com with esmtp (Exim 4.85)
(envelope-from <www-data@159.122.20.41>)
id 1ZVEGI-000RRI-Mk
for apelido@meucliente.com.br; Fri, 28 Aug 2015 04:41:47 -0300
Received: by goia5.prefeitura.com.br (Postfix, from userid 33)
id C3CCE6825B; Fri, 28 Aug 2015 02:39:50 -0500 (CDT)
To: apelido@meucliente.com.br
Subject: EXTRAJUDICIAL NOTIFICAO - [ 152456230483 ]
X-PHP-Originating-Script: 0:imo30.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <apelido@meucliente.com.br
>
Message-Id: <20150828073950.C3CCE6825B@goia5.prefeitura.com.br>
Date: Fri, 28 Aug 2015 02:39:50 -0500 (CDT)

  • Citar
    • 0
    Postado

    O IP do seu servidor é 159.122.20.41?

  • Citar
    • 0
    Postado

    Inicialmente seu cliente deve fazer uma varredura no desktop. Em casos como este, geralmente mensagem está sendo enviada pelo próprio cliente de e-mail.

    Também é válido perder alguns minutos depurando o mailog do postfix, para ver se este envio tem como origem algum arquivo vulnerável em seu servidor.

  • Citar
    • 1
    Postado

    Tive esse mesmo problema, trocamos as senhas dos e-mails afetados e à princípio funcionou (já fazem 3 meses).

    Mas como o @lyra disse, é bom verificar o mailog

  • Citar
    • 1
    Postado
    • Autor

    O IP do seu servidor é 159.122.20.41?

    Não, este não é o ip do meu servidor.

  • Citar
    • 0
    Postado

    Se esse ip não é do seu servidor, então outro servidor esta enviando e-mail e ele esta colocando o email do seu cliente como Remetente no cliente de e-mail usado. Apenas  isso.

    WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).

  • Citar
    • 1
    Postado
    • Administração

    Isso está cheirando a spoof de e-mail.
    Veja que há um script php que está fazendo o envio: X-PHP-Originating-Script: 0:imo30.php

    Algo que você pode verificar, é acessar via shell e rodar:

    1.- updatedb
    2.- locate ino30.php

    Se esse arquivo estiver no servidor ele localizará, no caso dê um cat path/destino/arquivo.php e veja o que tem dentro.
    Caso encontre algumas informações criptografadas você pode excluir o arquivo, utilizar chattr e/ou chmod 000 no arquivo e ficar monitorando se o mesmo ainda é executado por algum cliente/conta no seu servidor.

     

    Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

  • Citar
    • 0

    Participe da conversa

    Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
    Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

    Visitante
    Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
    Responder
    Ir para a lista de tópicos

    Quem Está Navegando 0

    • Nenhum usuário registrado visualizando esta página.

    Informação Importante

    Concorda com os nossos termos?

    I accept