Jump to content

Estranho spam


Recommended Posts

Senhores a algum tempo um dos servidores que temos está sendo usado para envio de SPAM em massa - o estranho no caso é que embora seja possivel identificar o dominio, a conta de email em sí não existe (eu mudei o nome do dominoi por DOMINIO e o IP do servidor no texto):

1ddW8d-000otg-3y-H
mailnull 47 12
<[email protected]>
1501828271 0
-helo_name DOMINIO.com.br
-host_address IPDOSERVIDOR.59033
-interface_address IPDOSERVIDOR.25
-received_protocol esmtps
-aclc _authenticated_local_user 6
amzreg
-body_linecount 31
-max_received_linelength 76
-tls_cipher TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128
-tls_sni IPDOSERVIDOR
-tls_ourcert -----BEGIN CERTIFICATE-----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\nbQ==\n-----END CERTIFICATE-----\n
XX
1
[email protected]

289P Received: from [IPDOSERVIDOR] (port=59033 helo=DOMINIO.com.br)
    by node.cluster09server.com with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128)
    (Exim 4.89)
    (envelope-from <[email protected]>)
    id 1ddW8d-000otg-3y
    for [email protected]; Fri, 04 Aug 2017 03:31:11 -0300
018  MIME-Version: 1.0
036  Date: Fri, 4 Aug 2017 6:31:11 +0000
067I Message-ID: <[email protected]>
059  Subject: It solving problems with your manhood for machos.
032F From: [email protected]
036R Reply-To: [email protected]
025T To: [email protected]
023  X-Priority: 3 (Normal)
020  X-Mailer: ESMTP 1.1
092  Content-Type: multipart/alternative;
    boundary="----=_Part_68069498_06735524.1501828271101"

Esse email [email protected] simplesmente não existe o o pior, vários outros dominios do mesmo server tb estão enviando SPAM da mesma forma, mesmo "usuário" amzreg.

Alguém tem ideia do que pode ser ?

Link to comment
Share on other sites

2 horas atrás, LucasOliveira disse:

Sei que é óbvio mas o mailphp está bloqueado?

Eu to passando um pente fino neste servidor, creio qu ejá econtri o problema.

Sobre o mailphp eu to pensando seriamente em desabilita-lo em todos os servidores compartilhados. Vc já fez ? Como foi sua experiencia ? Spam diminuiu ?

Link to comment
Share on other sites

Parece que seu servidor está sendo usado para fazer relay por uma conta externa. Já que a conta que está enviando não existe no servidor.

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link to comment
Share on other sites

Amigos, no caso a função seria mail ou mailphp?

Outra coisa que percebi, é que o cliente consegue habilitar as funções desativadas através do seletor de php do easy apache 4, cloudlinux ou com um php.ini. Falo isso porque aqui eu desabilito as funções no php, altero configurações de memory_limit e outros parâmetros do php. Mas os seletores de php e php.ini permitem que o cliente faça conforme quer.

Link to comment
Share on other sites

10 minutos atrás, Cauan disse:

Amigos, no caso a função seria mail ou mailphp?

Outra coisa que percebi, é que o cliente consegue habilitar as funções desativadas através do seletor de php do easy apache 4, cloudlinux ou com um php.ini. Falo isso porque aqui eu desabilito as funções no php, altero configurações de memory_limit e outros parâmetros do php. Mas os seletores de php e php.ini permitem que o cliente faça conforme quer.

É só desabilitar o ini_set

Link to comment
Share on other sites

6 minutos atrás, Fernando Ferenz disse:

É só desabilitar o ini_set

Você fala no disable_functions?

Mas tem sistemas que precisam dessa função habilitada, não? Antes eu desabilitava, mas eu mesmo tive problemas por ela estar desativada. Se não me engano o proprio whmcs precisa que ela esteja ativada.

Link to comment
Share on other sites

7 minutos atrás, Cauan disse:

Você fala no disable_functions?

Mas tem sistemas que precisam dessa função habilitada, não? Antes eu desabilitava, mas eu mesmo tive problemas por ela estar desativada. Se não me engano o proprio WHMCS precisa que ela esteja ativada.

https://nixcp.com/disable-custom-user-based-php-ini-files-in-cpanel/

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?