Email SPAM

[rodrigo286]

Boa tarde pessoal tudo bem? Espero que sim

Hoje tive uma surpresa ruim, dois clientes avisaram que estavam tendo problemas ao enviar para o hotmail, eu testei e realmente deu erro, antes funcionava normal, até que achei uma conta de site fazendo um spam danado então segui estes guias para desativar o envio de email do dominio infectado:

https://forums.cpanel.net/threads/how-do-i-block-one-domain-from-sending-email-from-my-server.223731/

 

http://www.linuxbrigade.com/block-account-sending-mail-whmcpanel/

 

Procurei em várias listas de SPAM, mas meus IPs ainda estão limpos.

Gostaria de ajuda para saber o que fazer agora, pesquisei de tudo achei alguns modulos, o que é bom eu fazer para evitar e até bloquear essas tentativas de ataque?

Agora que dei block o yahoo e hotmail retiram o ban deles automaticamente ou tenho que pedir algo?

O e-mail principal da conta que eu bloquei enviou mais alguns emails, talvez seja algo que estava na fila e deu erro mas agora um pouco diferente "Mail delivery failed: returning message to sender", com a seguinte mensagem:

"This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: [email protected] host ppb.dundee.ac.uk [134.36.2.121] SMTP error from remote mail server after RCPT TO:<[email protected]>: 550 unrouteable address

Reporting-MTA: dns; fr-1.xxxxxxxx.com.br

Action: failed
Final-Recipient: rfc822;[email protected]
Status: 5.0.0
Remote-MTA: dns; ppb.dundee.ac.uk
Diagnostic-Code: smtp; 550 unrouteable address

Assunto	You have received a new fax, document 0000658458
De	Interfax Service
Para	[email protected]
Data	Hoje 21:43

You have a new fax!

Please check your fax document in the attachment to this e-mail.

Pages scanned:    4
Scanned at:       Thu, 12 Nov 2015 20:31:55 +0300
File name:        document-0000658458.doc
File size:        195 Kb
Resolution:       500 DPI
From:             Clifford Helms
Processed in:     57 seconds

Thanks for using Interfax service!"

 

xxxxxxxx = meu umail.

Será que deu certo meu bloqueio?

Grande abraço.

#Edit, o que me recomendam para proteger melhor?

Acho que vou ter por algum anti exploit como esse:

http://www.pyxsoft.com/en/pyxsoft-vs-competition.html

Só tenho o ClamAv como antivirus.

E o CSF para proteger de alguns abusos.

Grande abraço pessoal.

#Edit2

Enviei também um pedido para https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=edfsmsbl3&locale=en-us.

Abraço.

[LucianoZ]

esse interfax para que se tornou viral, aqui achei uma mesmo, só que localizei a conta, vou ver se acho meu script de achar spam no exim ai te mando para você executar no seu ssh para saber de qual local esta saindo, geralmente é de um arquivo chamado post.php

[rodrigo286]

Muito obrigado eu agradeço de verdade se você puder me passar esse script.

A Microsoft me respondeu duas vezes pedindo IP mesmo eu passando para eles, mas pelo que vi já consigo enviar emails.

Vou daqui para frente limitar a quantidade de e-mal por hora para 30 ou 15.

Será que esse anti-exploit é bom? Custa 10USD mas percebi que alguns do forum usam e recomendam:

http://www.pyxsoft.com/en/pyxsoft-vs-competition.html .

A conta do meu cliente continua com bloqueio de envio e quota de envio de email 0, ainda bem que ele não usa e-mail.

Grande abraço a todos.

#Edit

Vlw pela dica pesquisei e achei alguns métodos para procurar e achei muitas e muitas linhas disso:

Citar

2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:37 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]
2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i [email protected]

E tinha um tal de lib.php e ainda por cima criptografado em base 64 e no plugin original do Wordpress esse arquivo não existe, apaguei ele e vamos ver se resolve, mas ainda agradeceria se me passar seu script.

Depois vou postar no forum o método que usei e realmente foi simples.

Obrigado e grande abraço.

[Gerson Porto]

Para verificar qual usuário e/ou script que está enviando SPAM em seu servidor cPanel/WHM, execute o seguinte comando:

grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F”cwd=” ‘{print $2}’|awk ‘{print $1}’|sort|uniq -c|sort -n

Você terá um retorno de algo parecido com:

13 /home/USUARIO/public_html
15 /home/USUARIO/public_html/php
18 /home/USUARIO/public_html/online/login

Obs.: O número a esquerda do diretório representa o número de e-mails enviados.
Obs².: O período é de acordo com que os logs são mantidos pelo exim.

[rodrigo286]

Vlw pela dica, vou testar aqui, pois parece que ficou ainda mais algum script.

Achei na home do meu cliente o "post.php" que o @LucianoZ disse.

Abraço.

#Edit

Aew até agora mais nada, log limpinho, galera vocês são demais =D

Abraço.