{"id":4105,"date":"2015-07-13T02:48:53","date_gmt":"2015-07-13T05:48:53","guid":{"rendered":"https:\/\/www.viazap.com.br\/?p=4105"},"modified":"2015-07-13T02:49:23","modified_gmt":"2015-07-13T05:49:23","slug":"como-localizar-scripts-realizando-spam-em-servidores-com-whmcpanel","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=4105","title":{"rendered":"Como localizar scripts realizando spam em servidores com WHM\/cPanel"},"content":{"rendered":"

Neste guia<\/span> vamos<\/span> ensinar<\/span> como usar os<\/span> logs<\/span> do<\/span> Exim<\/span> em seu<\/span> VPS\/Cloud<\/span> ou<\/span> servidor dedicado<\/span> para encontrar<\/span> poss\u00edveis tentativas<\/span> de<\/span> spammers<\/span>\u00a0usando<\/span>\u00a0scripts para envio de e-mails n\u00e3o solicitados<\/span>, a fim de retransmitir<\/span> o spam de<\/span> seu servidor<\/span>.<\/span><\/span><\/p>\n

Como \u00e9 que<\/span> o spam<\/span> s\u00e3o enviados<\/span> do meu servidor<\/span>?<\/span><\/strong><\/p>\n

Voc\u00ea pode ter<\/span> um recurso de “<\/span>informar a um amigo”, um sistema de alerta ou campo para recebimento de newsletter<\/span> em seu site.<\/span> Se<\/span> voc\u00ea n\u00e3o tiver cuidado<\/span>, por vezes, estes<\/span> podem ser explorados por<\/span> bots<\/span> para fins<\/span> de spam.<\/span> Isso pode<\/span> prejudicar a reputa\u00e7\u00e3o<\/span> de envio<\/span> de<\/span> seu endere\u00e7o de<\/span> IP<\/span>, e<\/span> levar a problemas<\/span>, como fazer voc\u00ea acabar<\/span> em uma blacklist<\/span>.<\/span><\/span><\/p>\n

Como fa\u00e7o para<\/span> parar o spam<\/span> vindo do meu<\/span><\/span> <\/span><\/strong>servidor?<\/strong><\/span><\/span><\/p>\n

Exim,<\/span> ou<\/span> o<\/span> MTA<\/span> (Mail<\/span> Transfer Agent<\/span>) em seu<\/span> servidor lida com<\/span> as entregas<\/span> de e-mail<\/span>. Toda a atividade<\/span> de e-mail<\/span> \u00e9 registrada<\/span> incluindo e-mails<\/span>enviados a partir de<\/span> scripts.<\/span> Ele faz isso registrando a pasta <\/span>a partir de onde<\/span> o script<\/span> foi executado.<\/span>
\n
\nUsando<\/span> esse conhecimento, voc\u00ea<\/span> pode facilmente<\/span> rastrear<\/span> um script<\/span> que<\/span> est\u00e1 sendo explorada<\/span> para enviar spam<\/span>, ou localizar<\/span> os scripts<\/span>possivelmente<\/span> maliciosos que<\/span> um<\/span> spammer<\/span> tenha colocado<\/span> no seu servidor.<\/span><\/span><\/p>\n

Localize os<\/span> Scripts com<\/span> envio<\/span> de e-mail no<\/span> Exim<\/span><\/span><\/strong><\/p>\n

Nos passos<\/span> abaixo<\/span> vamos mostrar<\/span> como localizar<\/span> os<\/span> scripts em seu<\/span> servidor de envio<\/span> de e-mail.<\/span> Se<\/span> desconfiar de qualquer script<\/span>, voc\u00ea pode verificar os logs de acesso<\/span> do Apache<\/span> para encontrar<\/span> como<\/span> um<\/span> spammer<\/span> pode estar usando<\/span> seus scripts para<\/span> enviar<\/span> spam.<\/span><\/span><\/span><\/span><\/p>\n

Para<\/span> seguir os passos<\/span> abaixo voc\u00ea<\/span> precisa<\/span> de acesso root<\/span> ao servidor,<\/span> para que voc\u00ea tenha<\/span> acesso ao log<\/span> mail do<\/span> Exim<\/span>.<\/span><\/p>\n

Passo 1<\/strong> – Acesse<\/span> o servidor<\/span> via SSH<\/span> como usu\u00e1rio root<\/span>.<\/span><\/p>\n

Passo 2<\/strong> – Execute o seguinte comando<\/span> para verificar os scripts mais utilizados para envio de e-mails nos logs do Exim<\/span>:<\/span><\/p>\n

 <\/p>\n\n\n\n
grep cwd \/var\/log\/exim_mainlog | grep -v \/var\/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\n<\/span><\/span><\/span>Voc\u00ea deve<\/span> receber de volta<\/span> algo como isto:<\/span><\/span><\/span><\/span><\/p>\n

 <\/p>\n\n\n\n
15 \/home\/userna5\/public_html\/about-us
\n25 \/home\/userna5\/public_html
\n7866 \/home\/userna5\/public_html\/data<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\nPodemos ver<\/span> que\u00a0\/home\/userna5\/public_html\/data<\/strong> de longe<\/span> tem<\/span> mais envios<\/span> do que<\/span> quaisquer outros.<\/span><\/span><\/span><\/span><\/p>\n

Passo 3<\/strong> – Agora podemos<\/span> executar o seguinte comando<\/span> para ver os<\/span> scripts<\/span> que est\u00e3o localizados<\/span> no diret\u00f3rio<\/span>:<\/span><\/p>\n

 <\/p>\n\n\n\n
ls -lahtr \/userna5\/public_html\/data<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

<\/span>
\nNeste<\/span> caso<\/span> recebemos de volta<\/span>:<\/span><\/span><\/span><\/p>\n

 <\/p>\n\n\n\n
drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ..\/
\n-rw-r–r– 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php
\ndrwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 .\/<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\nComo podemos<\/span> ver, h\u00e1 um<\/span> script chamado<\/span> mailer.php<\/span> neste diret\u00f3rio.<\/span><\/span><\/span><\/span><\/p>\n

Passo 4<\/strong> – Sabendo<\/span> o script<\/span> mailer.php<\/span><\/strong> estava enviando<\/span> e-mail<\/span> pelo<\/span> Exim<\/span>, podemos agora dar uma olhada no<\/span> log de acesso<\/span> Apache<\/span> para ver<\/span>os endere\u00e7os IP<\/span> que est\u00e3o acessando<\/span> este script<\/span> usando o seguinte comando<\/span>:<\/span><\/p>\n

 <\/p>\n\n\n\n
grep “mailer.php” \/home\/userna5\/access-logs\/example.com | awk ‘{print $1}’ | sort -n | uniq -c | sort -n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\nVoc\u00ea deve<\/span> receber de volta<\/span> algo semelhante a isto<\/span>:<\/span><\/span><\/span><\/p>\n

 <\/p>\n\n\n\n
2 123.123.123.126
\n2 123.123.123.125
\n2 123.123.123.124
\n7860 123.123.123.123<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n


\nPodemos ver que o<\/span> endere\u00e7o IP<\/span> 123.123.123.123<\/span><\/strong> est\u00e1 usando<\/span> o script<\/span> mailer<\/span> em uma natureza<\/span> mal-intencionada.<\/span><\/span><\/span><\/p>\n

Passo 5<\/strong> – Se voc\u00ea encontrar um<\/span> endere\u00e7o<\/span> IP<\/span> malicioso<\/span> com envio de um grande<\/span> volume de e-mails<\/span> a partir de um<\/span> script, voc\u00ea<\/span> deve<\/span> bloquea-lo<\/span>no<\/span> firewall<\/span> do servidor<\/span> para que<\/span> ele n\u00e3o possa<\/span> tentar se conectar<\/span> novamente. Ou se preferir poder\u00e1 remover o script por completo.<\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Neste guia vamos ensinar como usar os logs do Exim em seu VPS\/Cloud ou servidor dedicado para encontrar poss\u00edveis tentativas de spammers\u00a0usando\u00a0scripts para envio de e-mails n\u00e3o solicitados, a fim de retransmitir o spam de seu servidor. Como \u00e9 que o spam s\u00e3o enviados do meu servidor? Voc\u00ea pode ter um recurso de “informar a […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[455,1,730,830,725,42,51,495,514,271,74,501,548],"tags":[349,378,945,369,941,942,206,377,943,944],"class_list":["post-4105","post","type-post","status-publish","format-standard","hentry","category-apache2","category-viazap","category-clusterweb","category-debian","category-hospedagem","category-leitura-recomendada","category-linux-linuxrs","category-profissional-de-ti","category-programacao","category-seguranca-2","category-servidor-de-e-mail","category-shell-script","category-ubuntu-2","tag-com","tag-como","tag-cpanel","tag-em","tag-localizar","tag-realizando","tag-scripts","tag-servidores","tag-spam","tag-whm"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4105","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4105"}],"version-history":[{"count":2,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4105\/revisions"}],"predecessor-version":[{"id":4107,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4105\/revisions\/4107"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4105"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4105"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4105"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}