Ir para conteúdo
  • Cadastre-se

Localrelay, local account - usuariocpanel

Marks

Por Marks
em Segurança

 Compartilhar

Posts Recomendados

Marks

Marks

Postado
Postado

Olá pessoal tudo bem?
Umas 4 vezes por semana recebo e-mails com o assunto: "LOCALRELAY, Local Account - USUARIOCPANEL"

E quando recebo faço os seguintes procedimentos:
1- Vejo qual é o usuário que está enviando isso.
2- Rodo o seguinte comando para verificar: 

grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F"cwd=" '{print $2}'|awk '{print $1}'|sort|uniq -c|sort -n

3- Vou no sFTP pelo FileZilla coloco o caminho que apareceu ao rodar o comando acima, procuro e apago  o script.
4- Vou no WHM > Email > Gerenciador de fila de e-mail e Limpo a Fila de E-mails.

Bom, gostaria de saber, qual a solução para este meu problema?
Sei lá, alguma coisa que apague scripts que estão enviando SPAM/e-mails em massa e etc.

Desde já agradeço a todos e desejo que este ano de 2017 tudo seja prospero em nossas vidas...

0

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link para o comentário
Compartilhar em outros sites
RevendaHost

RevendaHost

Postado
Postado

Estes e-mails são enviados pelo LFD e as vezes não representam problemas ou envio de spam. Tenho percebido que as últimas builds liberadas do CSF/LFD contém muitas mudanças, alguns bugs e certas coisas não funcionam como deveriam; uma delas é a forma de interpretar as ações no sistema e alertar o admin.

Enfim, este email se refere aos envios de emails realizado pelo usuário e a maioria dos emails enviados pelo servidor (principalmente clientes externos) o LFD dispara um e-mail desses. Se você está recebendo somente 4 avisos deste tipo por semana, eu já acho estranho. Aqui tanto os meus servidores quanto os de clientes recebem este e-mail (Localrelay, Authrelay) dezenas de vezes por dia.

O que você pode fazer é simplesmente identificar o script que envia os e-mails, analisar se ele está ou não enviando spam (verifique os destinatários) e o seu código fonte. Notifique o seu cliente e veja o que ele vai lhe dizer a respeito, ai você faz o que achar melhor. Outra coisa: sempre que algum script que envia emails é enviado para o servidor, o CSF/LFD informa por e-mail ao admin.

0

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress e Magento.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link para o comentário
Compartilhar em outros sites
RevendaHost

RevendaHost

Postado
Postado
2 minutos atrás, MarksEliel disse:

@RevendaHost vendo o conteúdo do script é SPAM na certa é conteúdo é todo criptografado....

Se fosse em um dos meus servidores eu notificava o dono da conta e questionava se esse arquivo realmente é dele, e se for, já que está criptografado e enviando emails em massa eu solicitaria a remoção imediata, se ele não remover eu removo. Se futuramente acontecer novamente, caso este tipo de script realmente pertença ao cliente, eu suspendo a conta por 2 horas até que o cliente remova a arquivo. Se reincidir por mais 3 vezes suspendo a conta por 24hrs e acontecendo uma 5ª vez conta encerrada. Faço desse jeito.

0

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress e Magento.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link para o comentário
Compartilhar em outros sites
Jorge Marcelino

Jorge Marcelino

Postado
Postado

@MarksEliel Primeira decisão a tomar é suspender e informar o cliente, envie os logs dos envios para comprovar. Depois que o cliente estiver disponível para resolver o problema aí você libera. Imagine se cair em blacklist o trabalho que vai dar para remover, tem listas que só com solicitação do data center para remover e ainda irá levar um bom tempo.

1

 www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY

Link para o comentário
Compartilhar em outros sites
lyra

lyra

Postado
Postado

Remover o script malicioso não é uma solução recomendada. O invasor utilizará a mesma vulnerabilidade para reenviar o script novamente.

Se sistema opensource (joomla/wordpress/etc.), é válido remover todo o public_html e reinstalar o sistema, evitando templates/plugins desatualizados ou de origem desconhecida.

0
Link para o comentário
Compartilhar em outros sites
Joel Emanoel

Joel Emanoel

Postado
Postado
7 horas atrás, lyra disse:

Remover o script malicioso não é uma solução recomendada. O invasor utilizará a mesma vulnerabilidade para reenviar o script novamente.

Se sistema opensource (joomla/wordpress/etc.), é válido remover todo o public_html e reinstalar o sistema, evitando templates/plugins desatualizados ou de origem desconhecida.

Não só isso, mas trocar senha das contas e etc...

* Toda e qualquer medida de segurança é válida.

0
Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept