{"id":1127,"date":"2019-10-07T14:12:32","date_gmt":"2019-10-07T17:12:32","guid":{"rendered":"https:\/\/eurotigroup.com.br\/blog\/?p=1127"},"modified":"2019-10-07T14:13:07","modified_gmt":"2019-10-07T17:13:07","slug":"como-localizar-scripts-realizando-e-ou-enviando-spam-em-servidores-com-whm-cpanel","status":"publish","type":"post","link":"https:\/\/eurotigroup.com.br\/blog\/como-localizar-scripts-realizando-e-ou-enviando-spam-em-servidores-com-whm-cpanel.html","title":{"rendered":"Como localizar scripts realizando e ou enviando spam em servidores com WHM\/cPanel"},"content":{"rendered":"\n

Neste tutorial vamos\u00a0ensinar\u00a0como usar os\u00a0logs\u00a0do\u00a0Exim\u00a0em seu\u00a0VPS\/Cloud\u00a0ou\u00a0servidor dedicado\u00a0para encontrar\u00a0poss\u00edveis tentativas\u00a0de\u00a0spammers\u00a0a usar\u00a0scripts para envio de e-mails n\u00e3o solicitados, a fim de\u00a0retransmitir\u00a0o spam de\u00a0seu servidor.<\/p>\n\n\n\n

Como \u00e9 que o spam s\u00e3o enviados do meu servidor?

<\/strong>Voc\u00ea pode ter um recurso de “informar a um amigo”, um sistema de alerta ou campo para recebimento de newsletter em seu site. Se voc\u00ea n\u00e3o tiver cuidado, por vezes, estes podem ser explorados por bots para fins de spam. Isso pode prejudicar a reputa\u00e7\u00e3o de envio de seu endere\u00e7o de IP, e levar a problemas, como fazer voc\u00ea acabar em uma blacklist.<\/p>\n\n\n\n

Como fa\u00e7o para parar o spam vindo do meu <\/strong>servidor?<\/strong><\/p>\n\n\n\n

Exim, ou o MTA (Mail Transfer Agent) em seu servidor lida com as entregas de e-mail. Toda a atividade de e-mail \u00e9 registrada incluindo e-mails enviados a partir de scripts. Ele faz isso registrando a pasta a partir de onde o script foi executado.<\/p>\n\n\n\n

Usando esse conhecimento, voc\u00ea pode facilmente rastrear um script que est\u00e1 sendo explorada para enviar spam, ou localizar os scripts possivelmente maliciosos que um spammer tenha colocado no seu servidor.<\/p>\n\n\n\n

Localize os Scripts com envio de e-mail no Exim

<\/strong>Nos passos abaixo vamos mostrar como localizar os scripts em seu servidor de envio de e-mail. Se desconfiar de qualquer script, voc\u00ea pode verificar os logs de acesso do Apache para encontrar como um spammer pode estar usando seus scripts para enviar spam.<\/p>\n\n\n\n

Para seguir os passos abaixo voc\u00ea precisa de acesso root ao servidor, para que voc\u00ea tenha acesso ao log mail do Exim.<\/p>\n\n\n\n

Passo 1<\/strong> – Acesse o servidor via SSH como usu\u00e1rio root.<\/p>\n\n\n\n

Passo 2<\/strong> – Execute o seguinte comando para verificar os scripts mais utilizados para envio de e-mails nos logs do Exim:<\/p>\n\n\n\n

<\/p>\n\n\n\n
grep cwd \/var\/log\/exim_mainlog | grep -v \/var\/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n<\/td><\/tr><\/tbody><\/table>\n\n\n\n

Voc\u00ea deve receber de volta algo como isto:<\/p>\n\n\n\n

<\/p>\n\n\n\n
15 \/home\/username\/public_html\/about-us
25 \/home\/ username \/public_html
7866 \/home\/ username \/public_html\/data<\/td><\/tr><\/tbody><\/table>\n\n\n\n

Podemos ver\u00a0que\u00a0\/home\/username\/public_html\/data<\/strong>\u00a0de longe\u00a0tem\u00a0mais envios\u00a0do que\u00a0quaisquer outros.<\/p>\n\n\n\n

Passo 3<\/strong> – Agora podemos executar o seguinte comando para ver os scripts que est\u00e3o localizados no diret\u00f3rio:<\/p>\n\n\n\n

<\/p>\n\n\n\n
ls -lahtr \/home\/username \/public_html\/data<\/td><\/tr><\/tbody><\/table>\n\n\n\n

Neste caso recebemos de volta:<\/p>\n\n\n\n

<\/p>\n\n\n\n
drwxr-xr-x 17 username username 4.0K Jan 20 10:25 ..\/
-rw-r–r– 1 username username 5.6K Jan 20 11:27 form.php
drwxr-xr-x 2 username username 4.0K Jan 20 11:27 .\/<\/td><\/tr><\/tbody><\/table>\n\n\n\n

Como podemos\u00a0ver, h\u00e1 um\u00a0script chamado\u00a0form.php\u00a0neste diret\u00f3rio.<\/p>\n\n\n\n

Passo 4<\/strong>\u00a0–\u00a0Sabendo\u00a0o script\u00a0form.php<\/strong>\u00a0estava enviando\u00a0e-mail\u00a0pelo\u00a0Exim, podemos agora\u00a0dar uma olhada no\u00a0log de acesso\u00a0Apache\u00a0para ver\u00a0os endere\u00e7os IP\u00a0que\u00a0est\u00e3o acessando\u00a0este script\u00a0usando o seguinte comando:<\/p>\n\n\n\n

<\/p>\n\n\n\n
grep “form.php” \/home\/ username \/access-logs\/dominio.com | awk ‘{print $1}’ | sort -n | uniq -c | sort -n<\/td><\/tr><\/tbody><\/table>\n\n\n\n

Voc\u00ea deve receber de volta algo semelhante a isto:<\/p>\n\n\n\n

<\/p>\n\n\n\n
2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
7860 123.123.123.123<\/td><\/tr><\/tbody><\/table>\n\n\n\n

Podemos ver que o endere\u00e7o IP 123.123.123.123<\/strong> est\u00e1 usando o script mailer em uma natureza mal-intencionada.<\/p>\n\n\n\n

Passo 5<\/strong> – Se voc\u00ea encontrar um endere\u00e7o IP malicioso com envio de um grande volume de e-mails a partir de um script, voc\u00ea deve bloquea-lo no firewall do servidor para que ele n\u00e3o possa tentar se conectar novamente. Ou se preferir poder\u00e1 remover o script por completo.\n\n<\/p>\n","protected":false},"excerpt":{"rendered":"

Neste tutorial vamos\u00a0ensinar\u00a0como usar os\u00a0logs\u00a0do\u00a0Exim\u00a0em seu\u00a0VPS\/Cloud\u00a0ou\u00a0servidor dedicado\u00a0para encontrar\u00a0poss\u00edveis tentativas\u00a0de\u00a0spammers\u00a0a usar\u00a0scripts para envio de e-mails n\u00e3o solicitados, a fim de\u00a0retransmitir\u00a0o spam de\u00a0seu servidor. Como \u00e9 que o spam s\u00e3o enviados do meu servidor? Voc\u00ea pode ter um…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,4],"tags":[],"class_list":["post-1127","post","type-post","status-publish","format-standard","hentry","category-server-dedicado-vps","category-tutorial"],"_links":{"self":[{"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/posts\/1127","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/comments?post=1127"}],"version-history":[{"count":1,"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/posts\/1127\/revisions"}],"predecessor-version":[{"id":1128,"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/posts\/1127\/revisions\/1128"}],"wp:attachment":[{"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/media?parent=1127"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/categories?post=1127"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eurotigroup.com.br\/blog\/wp-json\/wp\/v2\/tags?post=1127"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}