Dedikuoti serveriai, VDS hostingas, debesų kompiuterija
Interneto vizija
Karjera El. paštas

Grįžti   Dedikuoti.lt forumas > Bendruomenės diskusijos > Pamokos > Tipinės problemos

Atsakyti
 
Temos įrankiai Ieškoti šioje temoje
  #1  
Senas 2015-02-05, 10:03
IV_RomanL avataras
IV_RomanL IV_RomanL neprisijungęs
Interneto vizija
 
Prisiregistravo: 2011 11
Vieta: Vilnius
Žinutės: 648
Post SPAM pobūdžio laiškų siuntimo šaltinio identifikavimas EXIM serveryje

Pamoka kaip greitai ir labai lengvai nustatyti iš kur tiksliai serveryje yra siunčiami SPAM pobūdžio laiškai. Šis metodas deja veiks tik jei naudojamas Exim servisas el.pašto laiškų siuntimui.

1. Prisijunkite prie serverio SSH konsolės ir įvykdykite komandą:

Kodas:
grep cwd /var/log/exim/mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
Komandos paaiškinimas:

grep cwd /var/log/exim/mainlog - ši dalis nurodo Exim serviso log failo vietą. Tad "/var/log/exim/mainlog" turėtų būti kelias iki Exim mainlog failo. Jei reikia, pakoreguokite šį parametrą.

grep -v /var/spool - ši dalis pažymi jog pateiktame rezultate nebūtų eilutės "/var/spool". Šios eilutės keisti nereikia.

awk -F"cwd=" '{print $2}' | awk '{print $1}' - ši komanda pateikia rezultatą lengvai perskaitoma forma. Šios eilutės keisti nereikia.

sort | uniq -c | sort -n - eilutė atsakinga už rezultato rikiavimą. Ši komanda rikiuos rezultatus nuo mažiausio iki didžiausio. Šios eilutės keisti nereikia.

2. Įvykdžius minėta komandą išvedamas rezultatas turėtų būti panašus į tai:

Citata:
10 /home/vartotojas/public_html/aplankas
30 /home/vartotojas/public_html
10000 /home/vartotojas/public_html/aplankas2
Skaičius pradžioje pažymi kiek laiškų buvo išsiųsta iš tam tikro aplanko. Kaip matote aplankas "/home/vartotojas/public_html/aplankas2" atsakingas už 10000 laiškų išsiuntimą, tad tikėtina jog tai ir bus katalogas kuriame talpinamas kenkėjiškas failas.

3. Peržiūrėkime kokie script'ai yra įtartiname aplanke:

Kodas:
ls -lahtr /home/vartotojas/public_html/aplankas2
Rezultatas turėtų būti panašus į:

Citata:
drwxr-xr-x 17 vartotojas vartotojas 4.0K Jan 20 10:25 ../
-rw-r--r-- 1 vartotojas vartotojas 5.6K Jan 20 11:27 scriptas.php
drwxr-xr-x 2 vartotojas vartotojas 4.0K Jan 20 11:27 ./
Tikėtina, jog problemą sukelia failas pavadinimu "scriptas.php".

4. Peržiūrime įtartino failo statistinę informaciją:

Kodas:
grep "scriptas.php" /home/vartotojas/access-logs/domenas.tld | awk '{print $1}' | sort -n | uniq -c | sort -n
Svarbu:

/home/vartotojas/access-logs/domenas.tld - ši dalis privalo būti pakeista atitinkamai pagal tai, kur yra jūsų domeno apache "access log" žurnalas.

Įvykdžius komandą rezultatas bus panašus į:

Citata:
2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
10000 123.123.123.123
Tai yra IP adresai ir jų užklausų kiekis į scriptas.php failą.

Kaip matote IP adresas 123.123.123.123 pateikė 10000 užklausų į scriptas.php failą.

Rekomenduojami atlikti veiksmai:

1. Jei tai yra failas kuris reikalingas korektiškam jūsų svetainės veikimui, peržiūrėkite jo kodą, gal jame bus patalpintas kenkėjiškas kodas kuris vykdo SPAM pobūdžio laiškų siuntimą. Pašalinkite kenkėjišką kodą nedelsiant.

2. Jei tai yra failas kuris nėra jūsų svetainės dalis, tuomet nedelsiant jį pašalinkite ir atlikite visos svetainės kodo reviziją, taip pat pakeiskite FTP prisijungimo slaptažodį.

3. Blokuokite piktybinį IP adresą iš kurio buvo kreiptasi į kenkėjišką failą (tą galite atlikti IPtables pagalba, .htaccess failo pagalba).

4. Išvalykite susikaupusių laiškų eilę ir stebėkite ar joje nesikaupia nauji laiškai.
Atsakyti su citata
Atsakyti

Žymės
exim, spam

Temos įrankiai Ieškoti šioje temoje
Ieškoti šioje temoje:

Detali paieška

Žinučių rašymo taisyklės
Jūs negalite kurti naujų temų
Jūs negalite rašyti žinučių
Jūs negalite įkelti failų
Jūs negalite redaguoti savo įrašų

BB kodas yra Įjungtas
Šypsenos yra Įjungtas
[IMG] kodas yra Įjungtas
HTML kodas yra Išjungtas

Greita navigacija


Visi laikai yra GMT +3. Šiuo metu yra 10:29.


Powered by vBulletin®
Copyright ©2000 - 2019, vBulletin Solutions, Inc.