1-Para verificar qual usuário e/ou script que está enviando SPAM em seu servidor cPanel/WHM, execute o seguinte comando:
grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F”cwd=” ‘{print $2}’|awk ‘{print $1}’|sort|uniq -c|sort -n
Você terá um retorno de algo parecido com:
13 /home/USUARIO/public_html
15 /home/USUARIO/public_html/php
18 /home/USUARIO/public_html/online/login
Obs.: O número a esquerda do diretório representa o número de e-mails enviados.
Obs².: O período é de acordo com que os logs são mantidos pelo exim.
Este comando é ótimo para verificar se há algum usuário e/ou script enviando SPAM a partir do seu servidor cPanel/WHM.
Como verificar quem está enviando SPAM em seu servidor cPanel/WHM
2-Como localizar scripts realizando spam em servidores com WHM/cPanel
Neste guia vamos ensinar como usar os logs do Exim em seu VPS/Cloud ou servidor dedicado para encontrar possíveis tentativas de spammers a usar scripts para envio de e-mails não solicitados, a fim de retransmitir o spam de seu servidor.
Como é que o spam são enviados do meu servidor?
Você pode ter um recurso de “informar a um amigo”, um sistema de alerta ou campo para recebimento de newsletter em seu site. Se você não tiver cuidado, por vezes,estes podem ser explorados por bots para fins de spam. Isso pode prejudicar a reputação de envio de seu endereço de IP, e levar a problemas, como fazer você acabar em uma blacklist.
Como faço para parar o spam vindo do meu servidor?
Exim, ou o MTA (Mail Transfer Agent) em seu servidor lida com as entregas de e-mail.Toda a atividade de e-mail é registrada incluindo e-mails enviados a partir de scripts.Ele faz isso registrando a pasta a partir de onde o script foi executado.
Usando esse conhecimento, você pode facilmente rastrear um script que está sendo explorada para enviar spam, ou localizar os scripts possivelmente maliciosos que umspammer tenha colocado no seu servidor.
Localize os Scripts com envio de e-mail no Exim
Nos passos abaixo vamos mostrar como localizar os scripts em seu servidor de enviode e-mail. Se desconfiar de qualquer script, você pode verificar os logs de acesso do Apache para encontrar como um spammer pode estar usando seus scripts paraenviar spam.
Para seguir os passos abaixo você precisa de acesso root ao servidor, para que você tenha acesso ao log mail do Exim.
Passo 1 – Acesse o servidor via SSH como usuário root.
Passo 2 – Execute o seguinte comando para verificar os scripts mais utilizados para envio de e-mails nos logs do Exim:
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n
Você deve receber de volta algo como isto:
15 /home/userna5/public_html/about-us
25 /home/userna5/public_html
7866 /home/userna5/public_html/data
Podemos ver que /home/userna5/public_html/data de longe tem mais envios do que quaisquer outros.Passo 3 – Agora podemos executar o seguinte comando para ver os scripts que estão localizados no diretório:
ls -lahtr /userna5/public_html/data
Neste caso recebemos de volta:
drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../
-rw-r–r– 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./
Como podemos ver, há um script chamado mailer.php neste diretório.Passo 4 – Sabendo o script mailer.php estava enviando e-mail pelo Exim, podemos agora dar uma olhada no log de acesso Apache para ver os endereços IP que estão acessando este script usando o seguinte comando:
grep “mailer.php” /home/userna5/access-logs/example.com | awk ‘{print $1}’ | sort -n | uniq -c | sort -n
Você deve receber de volta algo semelhante a isto:
2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
7860 123.123.123.123
Podemos ver que o endereço IP 123.123.123.123 está usando o script mailer em uma natureza mal-intencionada.Passo 5 – Se você encontrar um endereço IP malicioso com envio de um grandevolume de e-mails a partir de um script, você deve bloquea-lo no firewall do servidorpara que ele não possa tentar se conectar novamente. Ou se preferir poderá remover o script por completo.
http://www.lgvhost.com.br/central/knowledgebase.php?action=displayarticle&id=48
3-Encontre localização script spam com o Exim
Neste guia eu vou te ensinar como usar o log de correio Exim em seu VPS ou servidor dedicado para encontrar possíveis tentativas de spammers a usar seus scripts, ou a sua própria, a fim de retransmitir o spam de seu servidor.
Como é que o spam são enviados do meu servidor?
Você pode ter um recurso de “dizer a um amigo” em seu site, ou outro e-mail sistema de alerta em seu site. Se você não tiver cuidado, por vezes, estes podem ser explorados por bots para fins de spam. Isso pode prejudicar a reputação de envio de seu endereço de correio IP, e levar a problemas, como fazer você acabar em uma lista negra .
Como faço para parar o spam vindo do meu servidor?
Exim, ou o MTA (Mail Transfer Agent) em seu servidor lida com as entregas de e-mail. Toda a atividade de e-mail é registrada incluindo correio enviado a partir de scripts. Ele faz isso por registrar o atual diretório de trabalho a partir de onde o script foi executado.
Usando esse conhecimento, você pode facilmente rastrear um script de seu próprio que está sendo explorada para enviar spam, ou localizar os scripts possivelmente maliciosos que um spammer tenha colocado no seu servidor.
Localize Scripts Topo envio em Exim
Nos passos abaixo eu vou lhe mostrar como localizar os melhores scripts em seu servidor de envio de correio. Se quaisquer scripts olhar desconfiado, você pode verificar os logs de acesso do Apache para encontrar como um spammer pode estar usando seus scripts de enviar spam.
Para seguir os passos abaixo você precisa de acesso root ao seu servidor, para que você tenha acesso ao log mail para o Exim.
- Entre para o servidor via SSH como usuário root.
- Execute o seguinte comando para puxar a localização do roteiro de discussão mais utilizado a partir do log de correio Exim:
grep cwd / var / log / exim_mainlog | grep -v / var / spool | awk -F “cwd =” ‘{print $ 2}’ | awk ‘{print $ 1}’ | sort | uniq -c | sort -n
Repartição cupom:
grep cwd / var / log / exim_mainlog Use o grep comando para localizar menções de cwd de log mail para o Exim.Isto significa diretório de trabalho atual . grep -v / var / spool Use o grep com o -v bandeira que é um jogo invertido, de modo que não mostram quaisquer linhas que começam com / var / spool como estas são as entregas Exim normais não enviados a partir de um script. awk -F “cwd =” ‘{print $ 2}’ | awk ‘{print $ 1}’ Use o awk comando com as -F ield seperator definido para = CWD , em seguida, basta imprimir o $ 2 set nd de dados, finalmente tubo que ao awkcomando novamente apenas imprimindo a $ 1 coluna st para que nós só temos de volta o caminho do script . sort | uniq -c | sort -n Organizar os caminhos de script por seu nome, contar-lhes excepcionalmente, em seguida, classificá-los novamente numericamente menor para o maior. Você deve receber de volta algo como isto:
15 / home / userna5 / public_html / about-us
25 / home / userna5 / public_html
7866 / home / userna5 / public_html / dadosPodemos ver / home / userna5 / public_html / dados de longe tem mais partos entrando do que quaisquer outros.
- Agora podemos executar o seguinte comando para ver o que os scripts estão localizados no diretório:
ls -lahtr / userna5 / public_html / dados
Em caso thise voltamos:
drwxr-xr-x 17 userna5 userna5 4.0K 20 de janeiro 10:25 ../
-rw-r – r– 1 userna5 userna5 5,6K 20 de janeiro 11:27 mailer.php
drwxr-xr-x 2 userna5 userna5 4.0K 20 de janeiro 11:27 ./Assim, podemos ver que há um script chamado mailer.php neste diretório
- Sabendo o mailer.php roteiro foi o envio de correio para Exim, podemos agora dar uma olhada em nosso log de acesso Apache para ver o que os endereços IP estão acessando este script usando o seguinte comando:
grep “mailer.php” /home/userna5/access-logs/example.com | awk ‘{print $ 1}’ | sort -n | uniq -c | sort -n
Você deve receber de volta algo semelhante a isto:
2 123.123.123.126
123.123.123.125 2
2 123.123.123.124
123.123.123.123 7860Podemos ver o endereço IP 123.123.123.123 estava usando nosso script mailer em uma natureza mal-intencionado.
- Se você encontrar um endereço IP malicioso envio de um grande volume de correio a partir de um script, você provavelmente vai querer ir em frente e bloqueá-los no firewall do servidor para que eles não podem tentar se conectar novamente.Isto pode ser conseguido com o comando seguinte:
apf -d 123.123.123.123 “spams a partir de script em / home / userna5 / public_html / dados”
Espero que você já aprendeu a usar seu log-mail Exim para ver o que os scripts em seu servidor estão causando a atividade mais e-mail. Também como investigar se a atividade maliciosa está acontecendo, e como bloqueá-lo.
———————————————————————————————————————————————–
como limpar toda fila de emails (mail queue) do exim via ssh (console)
exim -bp | awk '/^ *[0-9]+[mhd]/{print "exim -Mrm " $3}' | bash
Outro comando útil é:
exim -bp | exiqgrep -i | xargs exim -Mrm
———————————————————————————————————————————————–
pode remover apenas mensagens de um destinatário em especial, assim, as mensagens válidas seriam poupadas
grep -R -l ‘EMAIL@DOMÍNIO’ /var/spool/exim/msglog/* |cut -b26-|xargs exim -Mrm
exiqgrep -i -f email@dominio.com.br | xargs exim -Mrm
———————————————————————————————————————————————–
Lista ips e email rejeitados.
eximstats -ne -nr /var/log/exim_mainlog
———————————————————————————————————————————————–
achar o usuario que esta enviando muito email spam.
grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F”cwd=” ‘{print $2}’|awk ‘{print $1}’|sort|uniq -c|sort -n
Você terá um retorno de algo parecido com:
13 /home/USUARIO/public_html
15 /home/USUARIO/public_html/php
105178 /home/TESTE/public_html/online/login
achar e mover email spam para pasta varspooleximinput_ever , o usuario teste emviando muito emails spam com scripts.
mkdir /root/varspooleximinput_ever
for f in `grep -r -l -i “teste@teste.com.br” /var/spool/exim/.*`; do mv -f ${f} /root/varspooleximinput_ever/; done
———————————————————————————————————————————————–
mover scripts em php milher para uma pasta criada:
mkdir /root/varspooleximinput_ever
for f in `grep -r -l -i “X-PHP-Script” /var/spool/exim/.*`; do mv -f ${f} /root/varspooleximinput_ever/; done
———————————————————————————————————————————————–
http://www.nerdblog.info/2011/01/29/como-limpar-toda-fila-de-emails-mail-queue-do-exim-via-ssh-console/