Jump to content

Estranho spam


Recommended Posts

Senhores a algum tempo um dos servidores que temos está sendo usado para envio de SPAM em massa - o estranho no caso é que embora seja possivel identificar o dominio, a conta de email em sí não existe (eu mudei o nome do dominoi por DOMINIO e o IP do servidor no texto):

1ddW8d-000otg-3y-H
mailnull 47 12
<amzreg@DOMINIO.com.br>
1501828271 0
-helo_name DOMINIO.com.br
-host_address IPDOSERVIDOR.59033
-interface_address IPDOSERVIDOR.25
-received_protocol esmtps
-aclc _authenticated_local_user 6
amzreg
-body_linecount 31
-max_received_linelength 76
-tls_cipher TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128
-tls_sni IPDOSERVIDOR
-tls_ourcert -----BEGIN CERTIFICATE-----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\nbQ==\n-----END CERTIFICATE-----\n
XX
1
ahsoksailo@yahoo.com

289P Received: from [IPDOSERVIDOR] (port=59033 helo=DOMINIO.com.br)
    by node.cluster09server.com with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128)
    (Exim 4.89)
    (envelope-from <amzreg@DOMINIO.com.br>)
    id 1ddW8d-000otg-3y
    for ahsoksailo@yahoo.com; Fri, 04 Aug 2017 03:31:11 -0300
018  MIME-Version: 1.0
036  Date: Fri, 4 Aug 2017 6:31:11 +0000
067I Message-ID: <3225819580.68069489.1501828270977@DOMINIO.com.br>
059  Subject: It solving problems with your manhood for machos.
032F From: amzreg@DOMINIO.com.br
036R Reply-To: amzreg@DOMINIO.com.br
025T To: ahsoksailo@yahoo.com
023  X-Priority: 3 (Normal)
020  X-Mailer: ESMTP 1.1
092  Content-Type: multipart/alternative;
    boundary="----=_Part_68069498_06735524.1501828271101"

Esse email amzreg@DOMINIO.com.br simplesmente não existe o o pior, vários outros dominios do mesmo server tb estão enviando SPAM da mesma forma, mesmo "usuário" amzreg.

Alguém tem ideia do que pode ser ?

Link to comment
Share on other sites

2 horas atrás, LucasOliveira disse:

Sei que é óbvio mas o mailphp está bloqueado?

Eu to passando um pente fino neste servidor, creio qu ejá econtri o problema.

Sobre o mailphp eu to pensando seriamente em desabilita-lo em todos os servidores compartilhados. Vc já fez ? Como foi sua experiencia ? Spam diminuiu ?

Link to comment
Share on other sites

Amigos, no caso a função seria mail ou mailphp?

Outra coisa que percebi, é que o cliente consegue habilitar as funções desativadas através do seletor de php do easy apache 4, cloudlinux ou com um php.ini. Falo isso porque aqui eu desabilito as funções no php, altero configurações de memory_limit e outros parâmetros do php. Mas os seletores de php e php.ini permitem que o cliente faça conforme quer.

Link to comment
Share on other sites

10 minutos atrás, Cauan disse:

Amigos, no caso a função seria mail ou mailphp?

Outra coisa que percebi, é que o cliente consegue habilitar as funções desativadas através do seletor de php do easy apache 4, cloudlinux ou com um php.ini. Falo isso porque aqui eu desabilito as funções no php, altero configurações de memory_limit e outros parâmetros do php. Mas os seletores de php e php.ini permitem que o cliente faça conforme quer.

É só desabilitar o ini_set

Link to comment
Share on other sites

6 minutos atrás, Fernando Ferenz disse:

É só desabilitar o ini_set

Você fala no disable_functions?

Mas tem sistemas que precisam dessa função habilitada, não? Antes eu desabilitava, mas eu mesmo tive problemas por ela estar desativada. Se não me engano o proprio whmcs precisa que ela esteja ativada.

Link to comment
Share on other sites

7 minutos atrás, Cauan disse:

Você fala no disable_functions?

Mas tem sistemas que precisam dessa função habilitada, não? Antes eu desabilitava, mas eu mesmo tive problemas por ela estar desativada. Se não me engano o proprio WHMCS precisa que ela esteja ativada.

https://nixcp.com/disable-custom-user-based-php-ini-files-in-cpanel/

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...