Ir para conteúdo
  • Cadastre-se

Cliente disparando centenas de e-mails (vírus)


apogeu

Posts Recomendados

Boa tarde turma! 

Tenho clientes de hospedagem (cPanel) que estão com problemas de disparo indevido de e-mail.
A conta de e-mail destes clientes estão disparando centenas de e-mails, já mudamos a senha do e-mail (em outros casos resolveu o problema) porém o problema persiste. Este problema ocorre com cliente usando Microsoft Outlook e outro usando o Mozilla Thunderbird. 

Quando vejo o log no whm vejo que os destinatários são endereços estranhos e neste caso não deixa rastro na pasta de itens enviados.
Ps.: estes disparos não estão sendo feito por algum script instalado na public_html, pois nesta pasta só tem um index (limpo) que chama uma imagem jpg.  

uma pequena amostra dos destinatários: 
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

Alguém já passou por coisa parecida? e pode me dar uma luz de como resolver?

Desde já agradeço. obrigado.

Cristiano

 

Link para o comentário
Compartilhar em outros sites

  • Administração

Além do já citado pelo @Felipe Pinheiro você já checou se há autenticação nos e-mails?
SE há, de onde vem essa autenticação? 

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link para o comentário
Compartilhar em outros sites

Boa noite,

Solicite que passe o norton ou malwarebytes no desktop do cliente.

Em seguida certifica se o seu EXIM tem desativado isso:

Reject remote mail sent to the server's hostname [?] - ON

EXPERIMENTAL: Rewrite From: header to match actual sender [?] - Disable

Set SMTP Sender: headers - ON

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link para o comentário
Compartilhar em outros sites

11 horas atrás, Felipe Pinheiro disse:

Já tentou rodar um anti-virus no servidor? Tive um problema parecido com o seu que o "Bitninja" resolveu.

@Felipe Pinheiro, também já tive problema de disparado partindo de dentro do servidor por scripts e cms desatualizados, mas depois que coloquei o Pyxsoft não tive mais essa dor de cabeça, ele é tipo o Bitninja né? Acredito que o problema citado seja no cliente mesmo! 

 

10 horas atrás, owsbr disse:

Além do já citado pelo @Felipe Pinheiro você já checou se há autenticação nos e-mails?
SE há, de onde vem essa autenticação? 

@owsbr autenticação que você diz, é essa "dovecot_plain" ? 
achei estranho esse "IP do remetente" tem hora que aparece este ip do Sul da África, tem ip da Indonésia, da Tailândia... não entendi o motivo deles aparecerem aqui... 
 
image.png.942ffadca6c601fe0d1714904de0c293.png

 

6 horas atrás, DELTA SERVERS disse:

Boa noite,

Solicite que passe o norton ou malwarebytes no desktop do cliente.

Em seguida certifica se o seu EXIM tem desativado isso:

Reject remote mail sent to the server's hostname [?] - ON

EXPERIMENTAL: Rewrite From: header to match actual sender [?] - Disable

Set SMTP Sender: headers - ON

@DELTA SERVERS ontem falei pro cliente rodar o "kaspersky removal tool" mas não sei se vai resolver. Bem lembrado, esse malwarebytes já usei uma vez (nem estava lembrando dele) ele ja me salvou outras ocasiões, vou falar pro cliente rodar ele também!  
Reject remote mail sent to the server's hostname [?] - ON (((estava OFF mudei pra ON)))
EXPERIMENTAL: Rewrite From: header to match actual sender [?] - Disable (((já estava disable)))
Set SMTP Sender: headers - ON (((estava OFF mudei pra ON)))

Valeu pelo apoio turma! vocês são TOP! muito obrigado mesmo!

Link para o comentário
Compartilhar em outros sites

aqui tivemos um caso parecido e demoramos para descobrir.

Conta do cliente não tinha nada no public_html, apenas um index.html que redirecionava para o Instagram.

Era feito a troca da senha das contas de e-mail, passava 2 dias acontecia o mesmo problema.

Até que um dia o cliente relatou que estava recebendo uns e-mails "estranhos" que não era barrado pelo antispam.

Quando a equipe foi analisar esse e-mail, era aquelas mensagens que a galera envia dizendo que teve acesso a sua senha e uma chave bitcoin para fazer um pagamento e não ter os dados vazados. Era uma senha simples, estilo a classica mudar123. Quando aconteceu os disparos novamente, tentamos acessar o e-mail do cliente com essa senha, e funcionou.

Resumindo, o cliente sempre retornava a conta de e-mail para sua senha de facil memorização e por isso sempre voltava acontecer os envios. Porém até a gente descobrir o que acontecia, o cliente já tinha ameaçado, chamado o serviço de lixo, etc.

Explicamos o lance da senha ao cliente, ele entendeu, colocou uma senha segura e nunca mais teve problema.

Link para o comentário
Compartilhar em outros sites

2 horas atrás, apogeu disse:

@Felipe Pinheiro, também já tive problema de disparado partindo de dentro do servidor por scripts e cms desatualizados, mas depois que coloquei o Pyxsoft não tive mais essa dor de cabeça, ele é tipo o Bitninja né? Acredito que o problema citado seja no cliente mesmo! 

Eu nunca tinha ouvido falar desse "Pysoft" dei uma pesquisa rápida aqui e parece que é semelhante. Pelo que eu pude notar no print que você colocou, estão disparando email de fora do servidor e usando o servidor apenas como "ponte". Certamente algum script ou malware dentro do servidor.

Baixa o bitninja ele tem 7 dias free, e ver se resolve o problema do seu cliente.

Editado por Felipe Pinheiro
Link para o comentário
Compartilhar em outros sites

  • Administração
5 horas atrás, Felipe Pinheiro disse:

Eu nunca tinha ouvido falar desse "Pysoft" dei uma pesquisa rápida aqui e parece que é semelhante. Pelo que eu pude notar no print que você colocou, estão disparando email de fora do servidor e usando o servidor apenas como "ponte". Certamente algum script ou malware dentro do servidor.

Baixa o bitninja ele tem 7 dias free, e ver se resolve o problema do seu cliente.

Sinceramente? Um lixo esse pyxsoft rs...

@apogeu recomendo que:

1.- Remova o Pyxsoft
2.- Instale o cpGuard que é uma solução mais completa que Pyxsoft (30 dias de trial)
3.- Se todos os seus clientes residem no Brasil, bloqueie APENAS a AUTENTICAÇÃO externa (países além do Brasil) e com isso você vai diminuir bastante os incidentes. Mesmo que o cara da casa do ca*** tiver sua senha ele não vai conseguir autenticar.

Editado por owsbr
Informações adicionais

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link para o comentário
Compartilhar em outros sites

Em 08/07/2022 em 10:23, Thiago Sabaia disse:

aqui tivemos um caso parecido e demoramos para descobrir.

Conta do cliente não tinha nada no public_html, apenas um index.html que redirecionava para o Instagram.

Era feito a troca da senha das contas de e-mail, passava 2 dias acontecia o mesmo problema.

Até que um dia o cliente relatou que estava recebendo uns e-mails "estranhos" que não era barrado pelo antispam.

Quando a equipe foi analisar esse e-mail, era aquelas mensagens que a galera envia dizendo que teve acesso a sua senha e uma chave bitcoin para fazer um pagamento e não ter os dados vazados. Era uma senha simples, estilo a classica mudar123. Quando aconteceu os disparos novamente, tentamos acessar o e-mail do cliente com essa senha, e funcionou.

Resumindo, o cliente sempre retornava a conta de e-mail para sua senha de facil memorização e por isso sempre voltava acontecer os envios. Porém até a gente descobrir o que acontecia, o cliente já tinha ameaçado, chamado o serviço de lixo, etc.

Explicamos o lance da senha ao cliente, ele entendeu, colocou uma senha segura e nunca mais teve problema.

hehehe, quando o problema está entre a cadeira e o teclado é o mais difícil de diagnosticar e resolver! tem usuário que é osso 🤣

 

Em 08/07/2022 em 10:25, Felipe Pinheiro disse:

Eu nunca tinha ouvido falar desse "Pysoft" dei uma pesquisa rápida aqui e parece que é semelhante. Pelo que eu pude notar no print que você colocou, estão disparando email de fora do servidor e usando o servidor apenas como "ponte". Certamente algum script ou malware dentro do servidor.

Baixa o bitninja ele tem 7 dias free, e ver se resolve o problema do seu cliente.

Problema resolvido, rodei o malwarebytes no pc do cliente conforme indicação do @DELTA SERVERS, e acusou 62 malwares, com uma nova senha e o pc limpo, não ouve mais disparos de emails..

 

Em 08/07/2022 em 15:45, owsbr disse:

Sinceramente? Um lixo esse pyxsoft rs...

@apogeu recomendo que:

1.- Remova o Pyxsoft
2.- Instale o cpGuard que é uma solução mais completa que Pyxsoft (30 dias de trial)
3.- Se todos os seus clientes residem no Brasil, bloqueie APENAS a AUTENTICAÇÃO externa (países além do Brasil) e com isso você vai diminuir bastante os incidentes. Mesmo que o cara da casa do ca*** tiver sua senha ele não vai conseguir autenticar.

vou seguir sua recomendação e trocar o Pyxsoft pelo cpGuard, e esta questão de filtrar a autenticação externa para fora do BR é uma boa viu! Vou selecionar alguns países específicos para este bloqueio, pois tenho clientes que viajam para o exterior e usam o email tanto via outlook quanto webmail... Se eu apanhar com relação a este filtro de autenticação eu te peço socorro! 

 

Pessoal, mais uma vez, muito obrigado! 

Link para o comentário
Compartilhar em outros sites

Em 08/07/2022 em 15:45, owsbr disse:

Sinceramente? Um lixo esse pyxsoft rs...

@apogeu recomendo que:

1.- Remova o Pyxsoft
2.- Instale o cpGuard que é uma solução mais completa que Pyxsoft (30 dias de trial)
3.- Se todos os seus clientes residem no Brasil, bloqueie APENAS a AUTENTICAÇÃO externa (países além do Brasil) e com isso você vai diminuir bastante os incidentes. Mesmo que o cara da casa do ca*** tiver sua senha ele não vai conseguir autenticar.

Este bloqueio de autenticaçao é feito no cpguard? tem como limitar a autenticacao por paises e outros serviços como cPanel, whm e etc?

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.

×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?