Cliente disparando centenas de e-mails (vírus)

[apogeu]

Boa tarde turma! 

Tenho clientes de hospedagem (cPanel) que estão com problemas de disparo indevido de e-mail.
A conta de e-mail destes clientes estão disparando centenas de e-mails, já mudamos a senha do e-mail (em outros casos resolveu o problema) porém o problema persiste. Este problema ocorre com cliente usando Microsoft Outlook e outro usando o Mozilla Thunderbird. 

Quando vejo o log no whm vejo que os destinatários são endereços estranhos e neste caso não deixa rastro na pasta de itens enviados.
Ps.: estes disparos não estão sendo feito por algum script instalado na public_html, pois nesta pasta só tem um index (limpo) que chama uma imagem jpg.  

uma pequena amostra dos destinatários: 
ana.paulino@ulsna.min-saude.pt
amatos@arslvt.min-saude.pt
cavaletti@everlasting.it
marketing@ficpromotion.it
mariarosariacarpe@alice.it
mekki@econ-sd.net

Alguém já passou por coisa parecida? e pode me dar uma luz de como resolver?

Desde já agradeço. obrigado.

Cristiano

 

[Felipe Pinheiro]

Já tentou rodar um anti-virus no servidor? Tive um problema parecido com o seu que o "Bitninja" resolveu.

[NullRoute]

Além do já citado pelo @Felipe Pinheiro você já checou se há autenticação nos e-mails?
SE há, de onde vem essa autenticação? 

[DELTA SERVERS]

Boa noite,

Solicite que passe o norton ou malwarebytes no desktop do cliente.

Em seguida certifica se o seu EXIM tem desativado isso:

Reject remote mail sent to the server's hostname [?] - ON

EXPERIMENTAL: Rewrite From: header to match actual sender [?] - Disable

Set SMTP Sender: headers - ON

[apogeu]

11 horas atrás, Felipe Pinheiro disse:

Já tentou rodar um anti-virus no servidor? Tive um problema parecido com o seu que o "Bitninja" resolveu.

@Felipe Pinheiro, também já tive problema de disparado partindo de dentro do servidor por scripts e cms desatualizados, mas depois que coloquei o Pyxsoft não tive mais essa dor de cabeça, ele é tipo o Bitninja né? Acredito que o problema citado seja no cliente mesmo! 

 

10 horas atrás, owsbr disse:

Além do já citado pelo @Felipe Pinheiro você já checou se há autenticação nos e-mails?
SE há, de onde vem essa autenticação? 

@owsbr autenticação que você diz, é essa "dovecot_plain" ? 
achei estranho esse "IP do remetente" tem hora que aparece este ip do Sul da África, tem ip da Indonésia, da Tailândia... não entendi o motivo deles aparecerem aqui... 
 

 

6 horas atrás, DELTA SERVERS disse:

Boa noite,

Solicite que passe o norton ou malwarebytes no desktop do cliente.

Em seguida certifica se o seu EXIM tem desativado isso:

Reject remote mail sent to the server's hostname [?] - ON

EXPERIMENTAL: Rewrite From: header to match actual sender [?] - Disable

Set SMTP Sender: headers - ON

@DELTA SERVERS ontem falei pro cliente rodar o "kaspersky removal tool" mas não sei se vai resolver. Bem lembrado, esse malwarebytes já usei uma vez (nem estava lembrando dele) ele ja me salvou outras ocasiões, vou falar pro cliente rodar ele também!  
Reject remote mail sent to the server's hostname [?] - ON (((estava OFF mudei pra ON)))
EXPERIMENTAL: Rewrite From: header to match actual sender [?] - Disable (((já estava disable)))
Set SMTP Sender: headers - ON (((estava OFF mudei pra ON)))

Valeu pelo apoio turma! vocês são TOP! muito obrigado mesmo!

[Thiago Sabaia]

aqui tivemos um caso parecido e demoramos para descobrir.

Conta do cliente não tinha nada no public_html, apenas um index.html que redirecionava para o Instagram.

Era feito a troca da senha das contas de e-mail, passava 2 dias acontecia o mesmo problema.

Até que um dia o cliente relatou que estava recebendo uns e-mails "estranhos" que não era barrado pelo antispam.

Quando a equipe foi analisar esse e-mail, era aquelas mensagens que a galera envia dizendo que teve acesso a sua senha e uma chave bitcoin para fazer um pagamento e não ter os dados vazados. Era uma senha simples, estilo a classica mudar123. Quando aconteceu os disparos novamente, tentamos acessar o e-mail do cliente com essa senha, e funcionou.

Resumindo, o cliente sempre retornava a conta de e-mail para sua senha de facil memorização e por isso sempre voltava acontecer os envios. Porém até a gente descobrir o que acontecia, o cliente já tinha ameaçado, chamado o serviço de lixo, etc.

Explicamos o lance da senha ao cliente, ele entendeu, colocou uma senha segura e nunca mais teve problema.

[Felipe Pinheiro]

2 horas atrás, apogeu disse:

@Felipe Pinheiro, também já tive problema de disparado partindo de dentro do servidor por scripts e cms desatualizados, mas depois que coloquei o Pyxsoft não tive mais essa dor de cabeça, ele é tipo o Bitninja né? Acredito que o problema citado seja no cliente mesmo! 

Eu nunca tinha ouvido falar desse "Pysoft" dei uma pesquisa rápida aqui e parece que é semelhante. Pelo que eu pude notar no print que você colocou, estão disparando email de fora do servidor e usando o servidor apenas como "ponte". Certamente algum script ou malware dentro do servidor.

Baixa o bitninja ele tem 7 dias free, e ver se resolve o problema do seu cliente.

Editado Julho 8, 2022 por Felipe Pinheiro

[NullRoute]

5 horas atrás, Felipe Pinheiro disse:

Eu nunca tinha ouvido falar desse "Pysoft" dei uma pesquisa rápida aqui e parece que é semelhante. Pelo que eu pude notar no print que você colocou, estão disparando email de fora do servidor e usando o servidor apenas como "ponte". Certamente algum script ou malware dentro do servidor.

Baixa o bitninja ele tem 7 dias free, e ver se resolve o problema do seu cliente.

Sinceramente? Um lixo esse pyxsoft rs...

@apogeu recomendo que:

1.- Remova o Pyxsoft
2.- Instale o cpGuard que é uma solução mais completa que Pyxsoft (30 dias de trial)
3.- Se todos os seus clientes residem no Brasil, bloqueie APENAS a AUTENTICAÇÃO externa (países além do Brasil) e com isso você vai diminuir bastante os incidentes. Mesmo que o cara da casa do ca*** tiver sua senha ele não vai conseguir autenticar.

Editado Julho 8, 2022 por owsbr
Informações adicionais

[apogeu]

Em 08/07/2022 em 10:23, Thiago Sabaia disse:

aqui tivemos um caso parecido e demoramos para descobrir.

Conta do cliente não tinha nada no public_html, apenas um index.html que redirecionava para o Instagram.

Era feito a troca da senha das contas de e-mail, passava 2 dias acontecia o mesmo problema.

Até que um dia o cliente relatou que estava recebendo uns e-mails "estranhos" que não era barrado pelo antispam.

Quando a equipe foi analisar esse e-mail, era aquelas mensagens que a galera envia dizendo que teve acesso a sua senha e uma chave bitcoin para fazer um pagamento e não ter os dados vazados. Era uma senha simples, estilo a classica mudar123. Quando aconteceu os disparos novamente, tentamos acessar o e-mail do cliente com essa senha, e funcionou.

Resumindo, o cliente sempre retornava a conta de e-mail para sua senha de facil memorização e por isso sempre voltava acontecer os envios. Porém até a gente descobrir o que acontecia, o cliente já tinha ameaçado, chamado o serviço de lixo, etc.

Explicamos o lance da senha ao cliente, ele entendeu, colocou uma senha segura e nunca mais teve problema.

hehehe, quando o problema está entre a cadeira e o teclado é o mais difícil de diagnosticar e resolver! tem usuário que é osso 

 

Em 08/07/2022 em 10:25, Felipe Pinheiro disse:

Eu nunca tinha ouvido falar desse "Pysoft" dei uma pesquisa rápida aqui e parece que é semelhante. Pelo que eu pude notar no print que você colocou, estão disparando email de fora do servidor e usando o servidor apenas como "ponte". Certamente algum script ou malware dentro do servidor.

Baixa o bitninja ele tem 7 dias free, e ver se resolve o problema do seu cliente.

Problema resolvido, rodei o malwarebytes no pc do cliente conforme indicação do @DELTA SERVERS, e acusou 62 malwares, com uma nova senha e o pc limpo, não ouve mais disparos de emails..

 

Em 08/07/2022 em 15:45, owsbr disse:

Sinceramente? Um lixo esse pyxsoft rs...

@apogeu recomendo que:

1.- Remova o Pyxsoft
2.- Instale o cpGuard que é uma solução mais completa que Pyxsoft (30 dias de trial)
3.- Se todos os seus clientes residem no Brasil, bloqueie APENAS a AUTENTICAÇÃO externa (países além do Brasil) e com isso você vai diminuir bastante os incidentes. Mesmo que o cara da casa do ca*** tiver sua senha ele não vai conseguir autenticar.

vou seguir sua recomendação e trocar o Pyxsoft pelo cpGuard, e esta questão de filtrar a autenticação externa para fora do BR é uma boa viu! Vou selecionar alguns países específicos para este bloqueio, pois tenho clientes que viajam para o exterior e usam o email tanto via outlook quanto webmail... Se eu apanhar com relação a este filtro de autenticação eu te peço socorro! 

 

Pessoal, mais uma vez, muito obrigado! 

[brunoalves]

Em 08/07/2022 em 15:45, owsbr disse:

Sinceramente? Um lixo esse pyxsoft rs...

@apogeu recomendo que:

1.- Remova o Pyxsoft
2.- Instale o cpGuard que é uma solução mais completa que Pyxsoft (30 dias de trial)
3.- Se todos os seus clientes residem no Brasil, bloqueie APENAS a AUTENTICAÇÃO externa (países além do Brasil) e com isso você vai diminuir bastante os incidentes. Mesmo que o cara da casa do ca*** tiver sua senha ele não vai conseguir autenticar.

Este bloqueio de autenticaçao é feito no cpguard? tem como limitar a autenticacao por paises e outros serviços como cPanel, whm e etc?