Clicky

Ir para conteúdo
MarksEliel

Localrelay, local account - usuariocpanel

Posts Recomendados

Olá pessoal tudo bem?
Umas 4 vezes por semana recebo e-mails com o assunto: "LOCALRELAY, Local Account - USUARIOCPANEL"

E quando recebo faço os seguintes procedimentos:
1- Vejo qual é o usuário que está enviando isso.
2- Rodo o seguinte comando para verificar:

grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F"cwd=" '{print $2}'|awk '{print $1}'|sort|uniq -c|sort -n

3- Vou no sFTP pelo FileZilla coloco o caminho que apareceu ao rodar o comando acima, procuro e apago  o script.
4- Vou no WHM > Email > Gerenciador de fila de e-mail e Limpo a Fila de E-mails.

Bom, gostaria de saber, qual a solução para este meu problema?
Sei lá, alguma coisa que apague scripts que estão enviando SPAM/e-mails em massa e etc.

Desde já agradeço a todos e desejo que este ano de 2017 tudo seja prospero em nossas vidas...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Estes e-mails são enviados pelo LFD e as vezes não representam problemas ou envio de spam. Tenho percebido que as últimas builds liberadas do CSF/LFD contém muitas mudanças, alguns bugs e certas coisas não funcionam como deveriam; uma delas é a forma de interpretar as ações no sistema e alertar o admin.

Enfim, este email se refere aos envios de emails realizado pelo usuário e a maioria dos emails enviados pelo servidor (principalmente clientes externos) o LFD dispara um e-mail desses. Se você está recebendo somente 4 avisos deste tipo por semana, eu já acho estranho. Aqui tanto os meus servidores quanto os de clientes recebem este e-mail (Localrelay, Authrelay) dezenas de vezes por dia.

O que você pode fazer é simplesmente identificar o script que envia os e-mails, analisar se ele está ou não enviando spam (verifique os destinatários) e o seu código fonte. Notifique o seu cliente e veja o que ele vai lhe dizer a respeito, ai você faz o que achar melhor. Outra coisa: sempre que algum script que envia emails é enviado para o servidor, o CSF/LFD informa por e-mail ao admin.

Compartilhar este post


Link para o post
Compartilhar em outros sites
2 minutos atrás, MarksEliel disse:

@RevendaHost vendo o conteúdo do script é SPAM na certa é conteúdo é todo criptografado....

Se fosse em um dos meus servidores eu notificava o dono da conta e questionava se esse arquivo realmente é dele, e se for, já que está criptografado e enviando emails em massa eu solicitaria a remoção imediata, se ele não remover eu removo. Se futuramente acontecer novamente, caso este tipo de script realmente pertença ao cliente, eu suspendo a conta por 2 horas até que o cliente remova a arquivo. Se reincidir por mais 3 vezes suspendo a conta por 24hrs e acontecendo uma 5ª vez conta encerrada. Faço desse jeito.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@MarksEliel Primeira decisão a tomar é suspender e informar o cliente, envie os logs dos envios para comprovar. Depois que o cliente estiver disponível para resolver o problema aí você libera. Imagine se cair em blacklist o trabalho que vai dar para remover, tem listas que só com solicitação do data center para remover e ainda irá levar um bom tempo.

  • Gostei! 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Remover o script malicioso não é uma solução recomendada. O invasor utilizará a mesma vulnerabilidade para reenviar o script novamente.

Se sistema opensource (joomla/wordpress/etc.), é válido remover todo o public_html e reinstalar o sistema, evitando templates/plugins desatualizados ou de origem desconhecida.

Compartilhar este post


Link para o post
Compartilhar em outros sites
7 horas atrás, lyra disse:

Remover o script malicioso não é uma solução recomendada. O invasor utilizará a mesma vulnerabilidade para reenviar o script novamente.

Se sistema opensource (joomla/wordpress/etc.), é válido remover todo o public_html e reinstalar o sistema, evitando templates/plugins desatualizados ou de origem desconhecida.

Não só isso, mas trocar senha das contas e etc...

* Toda e qualquer medida de segurança é válida.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



O Portal do Host

Dicas para sua empresa de hospedagem. Artigos, notícias, tutoriais e os aspectos da indústria de hospedagem.

Limestone Networks

A LSN tem sido parceira e patrocinadora do PDH, fornecendo uma plataforma segura e confiável.

Cloud - Servidores decicados - Co-location
×