Jump to content
Limestone de cara nova! ×
Portal do Host

Localrelay, local account - usuariocpanel


MarksEliel
 Share

Recommended Posts

Olá pessoal tudo bem?
Umas 4 vezes por semana recebo e-mails com o assunto: "LOCALRELAY, Local Account - USUARIOCPANEL"

E quando recebo faço os seguintes procedimentos:
1- Vejo qual é o usuário que está enviando isso.
2- Rodo o seguinte comando para verificar:

grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F"cwd=" '{print $2}'|awk '{print $1}'|sort|uniq -c|sort -n

3- Vou no sFTP pelo FileZilla coloco o caminho que apareceu ao rodar o comando acima, procuro e apago  o script.
4- Vou no WHM > Email > Gerenciador de fila de e-mail e Limpo a Fila de E-mails.

Bom, gostaria de saber, qual a solução para este meu problema?
Sei lá, alguma coisa que apague scripts que estão enviando SPAM/e-mails em massa e etc.

Desde já agradeço a todos e desejo que este ano de 2017 tudo seja prospero em nossas vidas...

Link to comment
Share on other sites


Estes e-mails são enviados pelo LFD e as vezes não representam problemas ou envio de spam. Tenho percebido que as últimas builds liberadas do CSF/LFD contém muitas mudanças, alguns bugs e certas coisas não funcionam como deveriam; uma delas é a forma de interpretar as ações no sistema e alertar o admin.

Enfim, este email se refere aos envios de emails realizado pelo usuário e a maioria dos emails enviados pelo servidor (principalmente clientes externos) o LFD dispara um e-mail desses. Se você está recebendo somente 4 avisos deste tipo por semana, eu já acho estranho. Aqui tanto os meus servidores quanto os de clientes recebem este e-mail (Localrelay, Authrelay) dezenas de vezes por dia.

O que você pode fazer é simplesmente identificar o script que envia os e-mails, analisar se ele está ou não enviando spam (verifique os destinatários) e o seu código fonte. Notifique o seu cliente e veja o que ele vai lhe dizer a respeito, ai você faz o que achar melhor. Outra coisa: sempre que algum script que envia emails é enviado para o servidor, o CSF/LFD informa por e-mail ao admin.

Link to comment
Share on other sites

2 minutos atrás, MarksEliel disse:

@RevendaHost vendo o conteúdo do script é SPAM na certa é conteúdo é todo criptografado....

Se fosse em um dos meus servidores eu notificava o dono da conta e questionava se esse arquivo realmente é dele, e se for, já que está criptografado e enviando emails em massa eu solicitaria a remoção imediata, se ele não remover eu removo. Se futuramente acontecer novamente, caso este tipo de script realmente pertença ao cliente, eu suspendo a conta por 2 horas até que o cliente remova a arquivo. Se reincidir por mais 3 vezes suspendo a conta por 24hrs e acontecendo uma 5ª vez conta encerrada. Faço desse jeito.

Link to comment
Share on other sites

@MarksEliel Primeira decisão a tomar é suspender e informar o cliente, envie os logs dos envios para comprovar. Depois que o cliente estiver disponível para resolver o problema aí você libera. Imagine se cair em blacklist o trabalho que vai dar para remover, tem listas que só com solicitação do data center para remover e ainda irá levar um bom tempo.

Link to comment
Share on other sites

7 horas atrás, lyra disse:

Remover o script malicioso não é uma solução recomendada. O invasor utilizará a mesma vulnerabilidade para reenviar o script novamente.

Se sistema opensource (joomla/wordpress/etc.), é válido remover todo o public_html e reinstalar o sistema, evitando templates/plugins desatualizados ou de origem desconhecida.

Não só isso, mas trocar senha das contas e etc...

* Toda e qualquer medida de segurança é válida.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    No registered users viewing this page.



×
×
  • Create New...

Important Information