So finden Sie die Quelle für E-Mail-Spam von einem cPanel-Konto aus

1997
Wen

Ich betreibe einen WHM-Server mit cPanel auf einem Centos-Server. CENTOS 7.2 x86_64 kvm - admin WHM 58.0 (Build 24) cPanel 58.0.24

Von Zeit zu Zeit gibt es einige cPanel-Konten, die gehackt werden und Spam-E-Mails senden. Wie kann ich die Ursache des Problems finden und stoppen?

0
Das Auffinden der Spam-Quelle ist kein realistisches Ziel. Es gibt buchstäblich Hunderte von Möglichkeiten, Spam auszugeben, wodurch die "Quelle des Spam" identifiziert wird, ein sinnloses Endevergehen. Wenn dieselben Konten gefährdet werden, beenden die einfachen Lösungen ihre Konten. Ramhound vor 7 Jahren 0
https://confluence2.cpanel.net/display/CKB/Tips+to+Make+Your+Server+More+Secure Abdel Karim Mateos Sanchez vor 7 Jahren 0

1 Antwort auf die Frage

1
cascer1

Wenn Sie über Konten verfügen, die gehackt werden, um Spam zu senden, gehen sie davon aus, dass auf ihrem System eine Art Spam-Skript installiert ist.

Bevor ich anfange : Ich habe den Configserver eXploit Scanner vor etwa zwei Jahren gekauft. Er scannt Dateien auf dem Server und hilft mir, einige Spam-Skripts zu identifizieren, bevor sie verwendet werden können. Wenn Sie dieses Problem haben, möchten Sie vielleicht auch nachschauen, wie Sie dieses Programm erhalten.

Wenn dies tatsächlich der Fall ist, ist dieses Handbuch sehr hilfreich bei der Lösung des Problems. Es hat mir dabei geholfen, Dateien zu finden, die bereits einige Male große Mengen an E-Mails versenden.

Es läuft auf folgendes hinaus:

1. Führen Sie den folgenden Befehl aus. Sie erhalten eine Liste der Verzeichnisse, aus denen E-Mails gesendet wurden. Dies durchsucht Ihr exim_mainlog( /var/log/exim_mainlogstandardmäßig unter). Wenn der Spam vor langer Zeit gesendet wurde, ist es möglich, dass die Protokolldatei seitdem gedreht wurde, und Sie können die Verzeichnisse mit diesem Befehl nicht finden. Versuchen Sie, die alte Protokolldatei zu finden und grepstattdessen den ersten Befehl auszuführen.

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '' | awk '' | sort | uniq -c | sort -n

2. Wechseln Sie in die vom obigen Befehl zurückgegebenen Verzeichnisse und überprüfen Sie die darin befindlichen Dateien. Nach meiner Erfahrung verwenden die meisten dieser Spam-Skripts ziemlich offensichtliche Dateinamen, aber es schadet nicht, Dateien zu untersuchen, bei denen Sie sich nicht sicher sind.

3. Überprüfen Sie das Apache-Zugriffsprotokoll, um herauszufinden, wer das Skript aufruft. Dieser Befehl listet alle IPs auf, die auf die Datei in aufsteigender Reihenfolge zugegriffen haben.

grep "<scriptname>" /home/<username>/access-logs/<domain>.<tld> | awk '' | sort -n | uniq -c | sort -n

4. Es ist auch möglich, dass der Befehl mit einem Cron-Job ausgeführt wird. Verwenden Sie diesen Befehl, um die Cron-Jobs der Benutzer zu überprüfen.

crontab -l -u <username>

5. Ergreifen Sie geeignete Maßnahmen

Sie können das Konto sperren, IP-Adressen sperren, die auf das Skript zugegriffen haben, oder den Inhalt entfernen. Tun Sie, was immer Sie für die beste Lösung halten.

Verwandte Probleme