Marks Posted January 4, 2017 Share Posted January 4, 2017 Olá pessoal tudo bem? Umas 4 vezes por semana recebo e-mails com o assunto: "LOCALRELAY, Local Account - USUARIOCPANEL" E quando recebo faço os seguintes procedimentos: 1- Vejo qual é o usuário que está enviando isso. 2- Rodo o seguinte comando para verificar: grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F"cwd=" '{print $2}'|awk '{print $1}'|sort|uniq -c|sort -n 3- Vou no sFTP pelo FileZilla coloco o caminho que apareceu ao rodar o comando acima, procuro e apago o script. 4- Vou no WHM > Email > Gerenciador de fila de e-mail e Limpo a Fila de E-mails. Bom, gostaria de saber, qual a solução para este meu problema? Sei lá, alguma coisa que apague scripts que estão enviando SPAM/e-mails em massa e etc. Desde já agradeço a todos e desejo que este ano de 2017 tudo seja prospero em nossas vidas... 0 Quote <?= "Full Stack PHP Developer"; ?> Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores. Link to comment Share on other sites More sharing options...
RevendaHost Posted January 4, 2017 Share Posted January 4, 2017 Estes e-mails são enviados pelo LFD e as vezes não representam problemas ou envio de spam. Tenho percebido que as últimas builds liberadas do CSF/LFD contém muitas mudanças, alguns bugs e certas coisas não funcionam como deveriam; uma delas é a forma de interpretar as ações no sistema e alertar o admin. Enfim, este email se refere aos envios de emails realizado pelo usuário e a maioria dos emails enviados pelo servidor (principalmente clientes externos) o LFD dispara um e-mail desses. Se você está recebendo somente 4 avisos deste tipo por semana, eu já acho estranho. Aqui tanto os meus servidores quanto os de clientes recebem este e-mail (Localrelay, Authrelay) dezenas de vezes por dia. O que você pode fazer é simplesmente identificar o script que envia os e-mails, analisar se ele está ou não enviando spam (verifique os destinatários) e o seu código fonte. Notifique o seu cliente e veja o que ele vai lhe dizer a respeito, ai você faz o que achar melhor. Outra coisa: sempre que algum script que envia emails é enviado para o servidor, o CSF/LFD informa por e-mail ao admin. 0 Quote Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP. Cloud otimizado e otimização para: Wordpress. Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware. Link to comment Share on other sites More sharing options...
Marks Posted January 4, 2017 Author Share Posted January 4, 2017 @RevendaHost vendo o conteúdo do script é SPAM na certa é conteúdo é todo criptografado.... 0 Quote <?= "Full Stack PHP Developer"; ?> Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores. Link to comment Share on other sites More sharing options...
RevendaHost Posted January 4, 2017 Share Posted January 4, 2017 2 minutos atrás, MarksEliel disse: @RevendaHost vendo o conteúdo do script é SPAM na certa é conteúdo é todo criptografado.... Se fosse em um dos meus servidores eu notificava o dono da conta e questionava se esse arquivo realmente é dele, e se for, já que está criptografado e enviando emails em massa eu solicitaria a remoção imediata, se ele não remover eu removo. Se futuramente acontecer novamente, caso este tipo de script realmente pertença ao cliente, eu suspendo a conta por 2 horas até que o cliente remova a arquivo. Se reincidir por mais 3 vezes suspendo a conta por 24hrs e acontecendo uma 5ª vez conta encerrada. Faço desse jeito. 0 Quote Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP. Cloud otimizado e otimização para: Wordpress. Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware. Link to comment Share on other sites More sharing options...
Marks Posted January 4, 2017 Author Share Posted January 4, 2017 O arquivo não é do cliente, já conversei com ele, deve ser alguma brecha no site dele... 0 Quote <?= "Full Stack PHP Developer"; ?> Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores. Link to comment Share on other sites More sharing options...
Jorge Marcelino Posted January 4, 2017 Share Posted January 4, 2017 @MarksEliel Primeira decisão a tomar é suspender e informar o cliente, envie os logs dos envios para comprovar. Depois que o cliente estiver disponível para resolver o problema aí você libera. Imagine se cair em blacklist o trabalho que vai dar para remover, tem listas que só com solicitação do data center para remover e ainda irá levar um bom tempo. 1 Quote █ www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY Link to comment Share on other sites More sharing options...
lyra Posted January 4, 2017 Share Posted January 4, 2017 Remover o script malicioso não é uma solução recomendada. O invasor utilizará a mesma vulnerabilidade para reenviar o script novamente. Se sistema opensource (joomla/wordpress/etc.), é válido remover todo o public_html e reinstalar o sistema, evitando templates/plugins desatualizados ou de origem desconhecida. 0 Quote Link to comment Share on other sites More sharing options...
Joel Emanoel Posted January 4, 2017 Share Posted January 4, 2017 7 horas atrás, lyra disse: Remover o script malicioso não é uma solução recomendada. O invasor utilizará a mesma vulnerabilidade para reenviar o script novamente. Se sistema opensource (joomla/wordpress/etc.), é válido remover todo o public_html e reinstalar o sistema, evitando templates/plugins desatualizados ou de origem desconhecida. Não só isso, mas trocar senha das contas e etc... * Toda e qualquer medida de segurança é válida. 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.