Jump to content

Localrelay, local account - usuariocpanel


Marks

Recommended Posts

Olá pessoal tudo bem?
Umas 4 vezes por semana recebo e-mails com o assunto: "LOCALRELAY, Local Account - USUARIOCPANEL"

E quando recebo faço os seguintes procedimentos:
1- Vejo qual é o usuário que está enviando isso.
2- Rodo o seguinte comando para verificar:

grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F"cwd=" '{print $2}'|awk '{print $1}'|sort|uniq -c|sort -n

3- Vou no sFTP pelo FileZilla coloco o caminho que apareceu ao rodar o comando acima, procuro e apago  o script.
4- Vou no WHM > Email > Gerenciador de fila de e-mail e Limpo a Fila de E-mails.

Bom, gostaria de saber, qual a solução para este meu problema?
Sei lá, alguma coisa que apague scripts que estão enviando SPAM/e-mails em massa e etc.

Desde já agradeço a todos e desejo que este ano de 2017 tudo seja prospero em nossas vidas...

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link to comment
Share on other sites

Estes e-mails são enviados pelo LFD e as vezes não representam problemas ou envio de spam. Tenho percebido que as últimas builds liberadas do CSF/LFD contém muitas mudanças, alguns bugs e certas coisas não funcionam como deveriam; uma delas é a forma de interpretar as ações no sistema e alertar o admin.

Enfim, este email se refere aos envios de emails realizado pelo usuário e a maioria dos emails enviados pelo servidor (principalmente clientes externos) o LFD dispara um e-mail desses. Se você está recebendo somente 4 avisos deste tipo por semana, eu já acho estranho. Aqui tanto os meus servidores quanto os de clientes recebem este e-mail (Localrelay, Authrelay) dezenas de vezes por dia.

O que você pode fazer é simplesmente identificar o script que envia os e-mails, analisar se ele está ou não enviando spam (verifique os destinatários) e o seu código fonte. Notifique o seu cliente e veja o que ele vai lhe dizer a respeito, ai você faz o que achar melhor. Outra coisa: sempre que algum script que envia emails é enviado para o servidor, o CSF/LFD informa por e-mail ao admin.

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link to comment
Share on other sites

2 minutos atrás, MarksEliel disse:

@RevendaHost vendo o conteúdo do script é SPAM na certa é conteúdo é todo criptografado....

Se fosse em um dos meus servidores eu notificava o dono da conta e questionava se esse arquivo realmente é dele, e se for, já que está criptografado e enviando emails em massa eu solicitaria a remoção imediata, se ele não remover eu removo. Se futuramente acontecer novamente, caso este tipo de script realmente pertença ao cliente, eu suspendo a conta por 2 horas até que o cliente remova a arquivo. Se reincidir por mais 3 vezes suspendo a conta por 24hrs e acontecendo uma 5ª vez conta encerrada. Faço desse jeito.

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link to comment
Share on other sites

O arquivo não é do cliente, já conversei com ele, deve ser alguma brecha no site dele...

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link to comment
Share on other sites

@MarksEliel Primeira decisão a tomar é suspender e informar o cliente, envie os logs dos envios para comprovar. Depois que o cliente estiver disponível para resolver o problema aí você libera. Imagine se cair em blacklist o trabalho que vai dar para remover, tem listas que só com solicitação do data center para remover e ainda irá levar um bom tempo.

 www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY

Link to comment
Share on other sites

Remover o script malicioso não é uma solução recomendada. O invasor utilizará a mesma vulnerabilidade para reenviar o script novamente.

Se sistema opensource (joomla/wordpress/etc.), é válido remover todo o public_html e reinstalar o sistema, evitando templates/plugins desatualizados ou de origem desconhecida.

Link to comment
Share on other sites

7 horas atrás, lyra disse:

Remover o script malicioso não é uma solução recomendada. O invasor utilizará a mesma vulnerabilidade para reenviar o script novamente.

Se sistema opensource (joomla/wordpress/etc.), é válido remover todo o public_html e reinstalar o sistema, evitando templates/plugins desatualizados ou de origem desconhecida.

Não só isso, mas trocar senha das contas e etc...

* Toda e qualquer medida de segurança é válida.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?