Neste guia vamos ensinar como usar os logs do Exim em seu VPS/Cloud ou servidor dedicado para encontrar possíveis tentativasde spammers a usar scripts para envio de e-mails não solicitados, a fim de retransmitir o spam de seu servidor.
Como é que o spam são enviados do meu servidor?
Você pode ter um recurso de “informar a um amigo”, um sistema de alerta ou campo para recebimento de newsletter em seu site. Se você não tiver cuidado, por vezes, estes podem ser explorados por bots para fins de spam. Isso pode prejudicar a reputação de envio de seu endereço de IP, e levar a problemas, como fazer você acabar em uma blacklist.
Como faço para parar o spam vindo do meu servidor?
Exim, ou o MTA (Mail Transfer Agent) em seu servidor lida com as entregas de e-mail. Toda a atividade de e-mail é registradaincluindo e-mails enviados a partir de scripts. Ele faz isso registrando a pasta a partir de onde o script foi executado.
Usando esse conhecimento, você pode facilmente rastrear um script que está sendo explorada para enviar spam, ou localizar os scripts possivelmente maliciosos que um spammer tenha colocado no seu servidor.
Localize os Scripts com envio de e-mail no Exim
Nos passos abaixo vamos mostrar como localizar os scripts em seu servidor de envio de e-mail. Se desconfiar de qualquer script, você pode verificar os logs de acesso do Apache para encontrar como um spammer pode estar usando seus scripts para enviarspam.
Para seguir os passos abaixo você precisa de acesso root ao servidor, para que você tenha acesso ao log mail do Exim.
Passo 1 – Acesse o servidor via SSH como usuário root.
Passo 2 – Execute o seguinte comando para verificar os scripts mais utilizados para envio de e-mails nos logs do Exim:
| grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n |
Você deve receber de volta algo como isto:
| 15 /home/userna5/public_html/about-us 25 /home/userna5/public_html 7866 /home/userna5/public_html/data |
Podemos ver que /home/userna5/public_html/data de longe tem mais envios do que quaisquer outros.
Passo 3 – Agora podemos executar o seguinte comando para ver os scripts que estão localizados no diretório:
| ls -lahtr /userna5/public_html/data |
Neste caso recebemos de volta:
| drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../ -rw-r–r– 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./ |
Como podemos ver, há um script chamado mailer.php neste diretório.
Passo 4 – Sabendo o script mailer.php estava enviando e-mail pelo Exim, podemos agora dar uma olhada no log de acessoApache para ver os endereços IP que estão acessando este script usando o seguinte comando:
| grep “mailer.php” /home/userna5/access-logs/example.com | awk ‘{print $1}’ | sort -n | uniq -c | sort -n |
Você deve receber de volta algo semelhante a isto:
| 2 123.123.123.126 2 123.123.123.125 2 123.123.123.124 7860 123.123.123.123 |
Podemos ver que o endereço IP 123.123.123.123 está usando o script mailer em uma natureza mal-intencionada.
Passo 5 – Se você encontrar um endereço IP malicioso com envio de um grande volume de e-mails a partir de um script, vocêdeve bloquea-lo no firewall do servidor para que ele não possa tentar se conectar novamente. Ou se preferir poderá remover o script por completo.