Postado Novembro 12, 2015 em 20:48 Nov 12, 2015 Boa tarde pessoal tudo bem? Espero que sim Hoje tive uma surpresa ruim, dois clientes avisaram que estavam tendo problemas ao enviar para o hotmail, eu testei e realmente deu erro, antes funcionava normal, até que achei uma conta de site fazendo um spam danado então segui estes guias para desativar o envio de email do dominio infectado: https://forums.cpanel.net/threads/how-do-i-block-one-domain-from-sending-email-from-my-server.223731/ http://www.linuxbrigade.com/block-account-sending-mail-whmcpanel/ Procurei em várias listas de SPAM, mas meus IPs ainda estão limpos. Gostaria de ajuda para saber o que fazer agora, pesquisei de tudo achei alguns modulos, o que é bom eu fazer para evitar e até bloquear essas tentativas de ataque? Agora que dei block o yahoo e hotmail retiram o ban deles automaticamente ou tenho que pedir algo? O e-mail principal da conta que eu bloquei enviou mais alguns emails, talvez seja algo que estava na fila e deu erro mas agora um pouco diferente "Mail delivery failed: returning message to sender", com a seguinte mensagem: "This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: tatler@dundee.ac.uk host ppb.dundee.ac.uk [134.36.2.121] SMTP error from remote mail server after RCPT TO:<tatler@dundee.ac.uk>: 550 unrouteable address Reporting-MTA: dns; fr-1.xxxxxxxx.com.br Action: failed Final-Recipient: rfc822;tatler@dundee.ac.uk Status: 5.0.0 Remote-MTA: dns; ppb.dundee.ac.uk Diagnostic-Code: smtp; 550 unrouteable address Assunto You have received a new fax, document 0000658458 De Interfax Service Para tatler@dundee.ac.uk Data Hoje 21:43 You have a new fax! Please check your fax document in the attachment to this e-mail. Pages scanned: 4 Scanned at: Thu, 12 Nov 2015 20:31:55 +0300 File name: document-0000658458.doc File size: 195 Kb Resolution: 500 DPI From: Clifford Helms Processed in: 57 seconds Thanks for using Interfax service!" xxxxxxxx = meu umail. Será que deu certo meu bloqueio? Grande abraço. #Edit, o que me recomendam para proteger melhor? Acho que vou ter por algum anti exploit como esse: http://www.pyxsoft.com/en/pyxsoft-vs-competition.html Só tenho o ClamAv como antivirus. E o CSF para proteger de alguns abusos. Grande abraço pessoal. #Edit2 Enviei também um pedido para https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=edfsmsbl3&locale=en-us. Abraço.
Postado Novembro 13, 2015 em 00:37 Nov 13, 2015 esse interfax para que se tornou viral, aqui achei uma mesmo, só que localizei a conta, vou ver se acho meu script de achar spam no exim ai te mando para você executar no seu ssh para saber de qual local esta saindo, geralmente é de um arquivo chamado post.php Chamou? Estamos ai!
Postado Novembro 13, 2015 em 00:48 Nov 13, 2015 Autor Muito obrigado eu agradeço de verdade se você puder me passar esse script. A Microsoft me respondeu duas vezes pedindo IP mesmo eu passando para eles, mas pelo que vi já consigo enviar emails. Vou daqui para frente limitar a quantidade de e-mal por hora para 30 ou 15. Será que esse anti-exploit é bom? Custa 10USD mas percebi que alguns do forum usam e recomendam: http://www.pyxsoft.com/en/pyxsoft-vs-competition.html . A conta do meu cliente continua com bloqueio de envio e quota de envio de email 0, ainda bem que ele não usa e-mail. Grande abraço a todos. #Edit Vlw pela dica pesquisei e achei alguns métodos para procurar e achei muitas e muitas linhas disso: Citar 2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fvictoria_huff@dominio-do-meu-cliente.com.br 2015-11-12 23:00:26 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fvictoria_huff@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fvictoria_huff@dominio-do-meu-cliente.com.br 2015-11-12 23:00:27 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -froberta_walker@dominio-do-meu-cliente.com.br 2015-11-12 23:00:37 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:38 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:39 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:40 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:41 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:42 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:43 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:44 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br 2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fmolly_carr@dominio-do-meu-cliente.com.br 2015-11-12 23:00:45 cwd=/home/dominio-do-meu-cliente/public_html/wp-includes/SimplePie/Content 4 args: /usr/sbin/sendmail -t -i -fdebra_ward@dominio-do-meu-cliente.com.br E tinha um tal de lib.php e ainda por cima criptografado em base 64 e no plugin original do Wordpress esse arquivo não existe, apaguei ele e vamos ver se resolve, mas ainda agradeceria se me passar seu script. Depois vou postar no forum o método que usei e realmente foi simples. Obrigado e grande abraço.
Postado Novembro 13, 2015 em 01:17 Nov 13, 2015 Para verificar qual usuário e/ou script que está enviando SPAM em seu servidor cPanel/WHM, execute o seguinte comando: grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F”cwd=” ‘{print $2}’|awk ‘{print $1}’|sort|uniq -c|sort -n Você terá um retorno de algo parecido com: 13 /home/USUARIO/public_html15 /home/USUARIO/public_html/php18 /home/USUARIO/public_html/online/login Obs.: O número a esquerda do diretório representa o número de e-mails enviados. Obs².: O período é de acordo com que os logs são mantidos pelo exim.
Postado Novembro 13, 2015 em 01:25 Nov 13, 2015 Autor Vlw pela dica, vou testar aqui, pois parece que ficou ainda mais algum script. Achei na home do meu cliente o "post.php" que o @LucianoZ disse. Abraço. #Edit Aew até agora mais nada, log limpinho, galera vocês são demais =D Abraço.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.