Clicky

Ir para conteúdo

rodrigo286

Email SPAM

Posts Recomendados

Boa tarde pessoal tudo bem? Espero que sim

Hoje tive uma surpresa ruim, dois clientes avisaram que estavam tendo problemas ao enviar para o hotmail, eu testei e realmente deu erro, antes funcionava normal, até que achei uma conta de site fazendo um spam danado então segui estes guias para desativar o envio de email do dominio infectado:

https://forums.cpanel.net/threads/how-do-i-block-one-domain-from-sending-email-from-my-server.223731/

 

http://www.linuxbrigade.com/block-account-sending-mail-whmcpanel/

 

Procurei em várias listas de SPAM, mas meus IPs ainda estão limpos.

Gostaria de ajuda para saber o que fazer agora, pesquisei de tudo achei alguns modulos, o que é bom eu fazer para evitar e até bloquear essas tentativas de ataque?

Agora que dei block o yahoo e hotmail retiram o ban deles automaticamente ou tenho que pedir algo?

O e-mail principal da conta que eu bloquei enviou mais alguns emails, talvez seja algo que estava na fila e deu erro mas agora um pouco diferente "Mail delivery failed: returning message to sender", com a seguinte mensagem:

"This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: tatler@dundee.ac.uk host ppb.dundee.ac.uk [134.36.2.121] SMTP error from remote mail server after RCPT TO:<tatler@dundee.ac.uk>: 550 unrouteable address

Reporting-MTA: dns; fr-1.xxxxxxxx.com.br

Action: failed
Final-Recipient: rfc822;tatler@dundee.ac.uk
Status: 5.0.0
Remote-MTA: dns; ppb.dundee.ac.uk
Diagnostic-Code: smtp; 550 unrouteable address
Assunto You have received a new fax, document 0000658458
De Interfax Service
Para tatler@dundee.ac.uk
Data Hoje 21:43
You have a new fax!

Please check your fax document in the attachment to this e-mail.

Pages scanned:    4
Scanned at:       Thu, 12 Nov 2015 20:31:55 +0300
File name:        document-0000658458.doc
File size:        195 Kb
Resolution:       500 DPI
From:             Clifford Helms
Processed in:     57 seconds

Thanks for using Interfax service!"

 

xxxxxxxx = meu umail.

Será que deu certo meu bloqueio?

Grande abraço.

#Edit, o que me recomendam para proteger melhor?

Acho que vou ter por algum anti exploit como esse:

http://www.pyxsoft.com/en/pyxsoft-vs-competition.html

Só tenho o ClamAv como antivirus.

E o CSF para proteger de alguns abusos.

Grande abraço pessoal.

#Edit2

Enviei também um pedido para https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=edfsmsbl3&locale=en-us.

Abraço.

Compartilhar este post


Link para o post
Compartilhar em outros sites

esse interfax para que se tornou viral, aqui achei uma mesmo, só que localizei a conta, vou ver se acho meu script de achar spam no exim ai te mando para você executar no seu ssh para saber de qual local esta saindo, geralmente é de um arquivo chamado post.php

  • Gostei! 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Muito obrigado eu agradeço de verdade se você puder me passar esse script.

A Microsoft me respondeu duas vezes pedindo IP mesmo eu passando para eles, mas pelo que vi já consigo enviar emails.

Vou daqui para frente limitar a quantidade de e-mal por hora para 30 ou 15.

Será que esse anti-exploit é bom? Custa 10USD mas percebi que alguns do forum usam e recomendam:

http://www.pyxsoft.com/en/pyxsoft-vs-competition.html .

A conta do meu cliente continua com bloqueio de envio e quota de envio de email 0, ainda bem que ele não usa e-mail.

Grande abraço a todos.

#Edit

Vlw pela dica pesquisei e achei alguns métodos para procurar e achei muitas e muitas linhas disso:

Citar

2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br
2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br
2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fvictoria_huff@dominio-do-meu-cliente.com.br
2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fvictoria_huff@dominio-do-meu-cliente.com.br
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fvictoria_huff@dominio-do-meu-cliente.com.br
2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br
2015-11-12 23:00:37 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br
2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br
2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br

E tinha um tal de lib.php e ainda por cima criptografado em base 64 e no plugin original do Wordpress esse arquivo não existe, apaguei ele e vamos ver se resolve, mas ainda agradeceria se me passar seu script.

Depois vou postar no forum o método que usei e realmente foi simples.

Obrigado e grande abraço.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Para verificar qual usuário e/ou script que está enviando SPAM em seu servidor cPanel/WHM, execute o seguinte comando:

grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F”cwd=” ‘{print $2}’|awk ‘{print $1}’|sort|uniq -c|sort -n

Você terá um retorno de algo parecido com:

13 /home/USUARIO/public_html
15 /home/USUARIO/public_html/php
18 /home/USUARIO/public_html/online/login

Obs.: O número a esquerda do diretório representa o número de e-mails enviados.
Obs².: O período é de acordo com que os logs são mantidos pelo exim.

  • Gostei! 1

ONZEHost - Desenvolvimento e Hospedagem (www.onzehost.com.br).
Hospedagem de sites, Revenda de Hospedagem, VPS OpenVZ, VPS XEN, Módulo MoIP, Certificados SSL

Compartilhar este post


Link para o post
Compartilhar em outros sites

Vlw pela dica, vou testar aqui, pois parece que ficou ainda mais algum script.

Achei na home do meu cliente o "post.php" que o @LucianoZ disse.

Abraço.

#Edit

Aew até agora mais nada, log limpinho, galera vocês são demais =D

Abraço.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



×
×
  • Criar Novo...