frame

Sveiki apsilankę!

Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.

Prisijungti Registruotis

SPAM pobūdžio laiškų siuntimo šaltinio identifikavimas EXIM serveryje

IV_RomanLIV_RomanL Interneto vizija
edited rugsėjo 24 Į Tipinės problemos
Pamoka kaip greitai ir labai lengvai nustatyti iš kur tiksliai serveryje yra siunčiami SPAM pobūdžio laiškai. Šis metodas deja veiks tik jei naudojamas Exim servisas el.pašto laiškų siuntimui.

1. Prisijunkite prie serverio SSH konsolės ir įvykdykite komandą:
grep cwd /var/log/exim/mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
Komandos paaiškinimas:

grep cwd /var/log/exim/mainlog - ši dalis nurodo Exim serviso log failo vietą. Tad "/var/log/exim/mainlog" turėtų būti kelias iki Exim mainlog failo. Jei reikia, pakoreguokite šį parametrą.

grep -v /var/spool - ši dalis pažymi jog pateiktame rezultate nebūtų eilutės "/var/spool". Šios eilutės keisti nereikia.

awk -F"cwd=" '{print $2}' | awk '{print $1}' - ši komanda pateikia rezultatą lengvai perskaitoma forma. Šios eilutės keisti nereikia.

sort | uniq -c | sort -n - eilutė atsakinga už rezultato rikiavimą. Ši komanda rikiuos rezultatus nuo mažiausio iki didžiausio. Šios eilutės keisti nereikia.

2. Įvykdžius minėta komandą išvedamas rezultatas turėtų būti panašus į tai:
10 /home/vartotojas/public_html/aplankas
30 /home/vartotojas/public_html
10000 /home/vartotojas/public_html/aplankas2
Skaičius pradžioje pažymi kiek laiškų buvo išsiųsta iš tam tikro aplanko. Kaip matote aplankas "/home/vartotojas/public_html/aplankas2" atsakingas už 10000 laiškų išsiuntimą, tad tikėtina jog tai ir bus katalogas kuriame talpinamas kenkėjiškas failas.

3. Peržiūrėkime kokie script'ai yra įtartiname aplanke:
ls -lahtr /home/vartotojas/public_html/aplankas2
Rezultatas turėtų būti panašus į:
drwxr-xr-x 17 vartotojas vartotojas 4.0K Jan 20 10:25 ../
-rw-r--r-- 1 vartotojas vartotojas 5.6K Jan 20 11:27 scriptas.php
drwxr-xr-x 2 vartotojas vartotojas 4.0K Jan 20 11:27 ./
Tikėtina, jog problemą sukelia failas pavadinimu "scriptas.php".

4. Peržiūrime įtartino failo statistinę informaciją:
grep "scriptas.php" /home/vartotojas/access-logs/domenas.tld | awk '{print $1}' | sort -n | uniq -c | sort -n
Svarbu:

/home/vartotojas/access-logs/domenas.tld - ši dalis privalo būti pakeista atitinkamai pagal tai, kur yra jūsų domeno apache "access log" žurnalas.

Įvykdžius komandą rezultatas bus panašus į:
2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
10000 123.123.123.123
Tai yra IP adresai ir jų užklausų kiekis į scriptas.php failą.

Kaip matote IP adresas 123.123.123.123 pateikė 10000 užklausų į scriptas.php failą.

Rekomenduojami atlikti veiksmai:

1. Jei tai yra failas kuris reikalingas korektiškam jūsų svetainės veikimui, peržiūrėkite jo kodą, gal jame bus patalpintas kenkėjiškas kodas kuris vykdo SPAM pobūdžio laiškų siuntimą. Pašalinkite kenkėjišką kodą nedelsiant.

2. Jei tai yra failas kuris nėra jūsų svetainės dalis, tuomet nedelsiant jį pašalinkite ir atlikite visos svetainės kodo reviziją, taip pat pakeiskite FTP prisijungimo slaptažodį.

3. Blokuokite piktybinį IP adresą iš kurio buvo kreiptasi į kenkėjišką failą (tą galite atlikti IPtables pagalba, .htaccess failo pagalba).

4. Išvalykite susikaupusių laiškų eilę ir stebėkite ar joje nesikaupia nauji laiškai.
Pažymėtos temos:
Norėdami palikti komentarą, turite prisijungti arba registruokis.