rodrigo286 Posted November 12, 2015 Share Posted November 12, 2015 Boa tarde pessoal tudo bem? Espero que sim Hoje tive uma surpresa ruim, dois clientes avisaram que estavam tendo problemas ao enviar para o hotmail, eu testei e realmente deu erro, antes funcionava normal, até que achei uma conta de site fazendo um spam danado então segui estes guias para desativar o envio de email do dominio infectado: https://forums.cpanel.net/threads/how-do-i-block-one-domain-from-sending-email-from-my-server.223731/ http://www.linuxbrigade.com/block-account-sending-mail-whmcpanel/ Procurei em várias listas de SPAM, mas meus IPs ainda estão limpos. Gostaria de ajuda para saber o que fazer agora, pesquisei de tudo achei alguns modulos, o que é bom eu fazer para evitar e até bloquear essas tentativas de ataque? Agora que dei block o yahoo e hotmail retiram o ban deles automaticamente ou tenho que pedir algo? O e-mail principal da conta que eu bloquei enviou mais alguns emails, talvez seja algo que estava na fila e deu erro mas agora um pouco diferente "Mail delivery failed: returning message to sender", com a seguinte mensagem: "This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: tatler@dundee.ac.uk host ppb.dundee.ac.uk [134.36.2.121] SMTP error from remote mail server after RCPT TO:<tatler@dundee.ac.uk>: 550 unrouteable address Reporting-MTA: dns; fr-1.xxxxxxxx.com.br Action: failed Final-Recipient: rfc822;tatler@dundee.ac.uk Status: 5.0.0 Remote-MTA: dns; ppb.dundee.ac.uk Diagnostic-Code: smtp; 550 unrouteable address Assunto You have received a new fax, document 0000658458 De Interfax Service Para tatler@dundee.ac.uk Data Hoje 21:43 You have a new fax! Please check your fax document in the attachment to this e-mail. Pages scanned: 4 Scanned at: Thu, 12 Nov 2015 20:31:55 +0300 File name: document-0000658458.doc File size: 195 Kb Resolution: 500 DPI From: Clifford Helms Processed in: 57 seconds Thanks for using Interfax service!" xxxxxxxx = meu umail. Será que deu certo meu bloqueio? Grande abraço. #Edit, o que me recomendam para proteger melhor? Acho que vou ter por algum anti exploit como esse: http://www.pyxsoft.com/en/pyxsoft-vs-competition.html Só tenho o ClamAv como antivirus. E o CSF para proteger de alguns abusos. Grande abraço pessoal. #Edit2 Enviei também um pedido para https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=edfsmsbl3&locale=en-us. Abraço. 0 Quote Link to comment Share on other sites More sharing options...
LucianoZ Posted November 13, 2015 Share Posted November 13, 2015 esse interfax para que se tornou viral, aqui achei uma mesmo, só que localizei a conta, vou ver se acho meu script de achar spam no exim ai te mando para você executar no seu ssh para saber de qual local esta saindo, geralmente é de um arquivo chamado post.php 1 Quote Chamou? Estamos ai! Link to comment Share on other sites More sharing options...
rodrigo286 Posted November 13, 2015 Author Share Posted November 13, 2015 Muito obrigado eu agradeço de verdade se você puder me passar esse script. A Microsoft me respondeu duas vezes pedindo IP mesmo eu passando para eles, mas pelo que vi já consigo enviar emails. Vou daqui para frente limitar a quantidade de e-mal por hora para 30 ou 15. Será que esse anti-exploit é bom? Custa 10USD mas percebi que alguns do forum usam e recomendam: http://www.pyxsoft.com/en/pyxsoft-vs-competition.html . A conta do meu cliente continua com bloqueio de envio e quota de envio de email 0, ainda bem que ele não usa e-mail. Grande abraço a todos. #Edit Vlw pela dica pesquisei e achei alguns métodos para procurar e achei muitas e muitas linhas disso: Citar 2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fvictoria_huff@dominio-do-meu-cliente.com.br 2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fvictoria_huff@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fvictoria_huff@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:37 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br E tinha um tal de lib.php e ainda por cima criptografado em base 64 e no plugin original do Wordpress esse arquivo não existe, apaguei ele e vamos ver se resolve, mas ainda agradeceria se me passar seu script. Depois vou postar no forum o método que usei e realmente foi simples. Obrigado e grande abraço. 0 Quote Link to comment Share on other sites More sharing options...
Gerson Porto Posted November 13, 2015 Share Posted November 13, 2015 Para verificar qual usuário e/ou script que está enviando SPAM em seu servidor cPanel/WHM, execute o seguinte comando: grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F”cwd=” ‘{print $2}’|awk ‘{print $1}’|sort|uniq -c|sort -n Você terá um retorno de algo parecido com: 13 /home/USUARIO/public_html15 /home/USUARIO/public_html/php18 /home/USUARIO/public_html/online/login Obs.: O número a esquerda do diretório representa o número de e-mails enviados. Obs².: O período é de acordo com que os logs são mantidos pelo exim. 1 Quote Link to comment Share on other sites More sharing options...
rodrigo286 Posted November 13, 2015 Author Share Posted November 13, 2015 Vlw pela dica, vou testar aqui, pois parece que ficou ainda mais algum script. Achei na home do meu cliente o "post.php" que o @LucianoZ disse. Abraço. #Edit Aew até agora mais nada, log limpinho, galera vocês são demais =D Abraço. 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.