Verificar via SSH quem está enviando SPAM (Em-ails em massa) no cPanel

Primeiro você precisa logar via SSH em seu servidor com cPanel


Passo 01:
Executando o comando:


#grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

Receberá algo semelhante:

370 /home/$USER1/public_html/LOCALIZAÇÃO-SCRIPT-DE-ENVIO-DE-EMAIL

[NÚMERO]  representa os emails enviados. 
A parte que fica apóa a barra representa a [LOCALIZAÇÃO DO SCRIPT]



Assim facilita para parar o spam imediatamente (suspende a conta) e ai verificar os scripts da conta.


Em caso de um número muito alto de e-mails, uma boa dica é remover o script da hospedagem da conta. 
Caso volte a ocorrer novamente, aí você suspende a conta do usuário.


 

Passo 2 - Agora podemos executar o seguinte comando para ver os scripts que estão localizados no diretório:

ls -lahtr /userna5/public_html/data

Neste caso recebemos de volta:

drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../
-rw-r--r-- 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./

Como podemos ver, há um script chamado mailer.php neste diretório.

Passo 3 - Sabendo o script mailer.php estava enviando e-mail pelo Exim, podemos agora dar uma olhada no log de acesso Apache para ver os endereços IP que estão acessando este script usando o seguinte comando:

grep "mailer.php" /home/userna5/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort -n

Você deve receber de volta algo semelhante a isto:

2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
7860 123.123.123.123

Podemos ver que o endereço IP 123.123.123.123 está usando o script mailer em uma natureza mal-intencionada.

Passo 4 - Se você encontrar um endereço IP malicioso com envio de um grande volume de e-mails a partir de um script, você deve bloquea-lono firewall do servidor para que ele não possa tentar se conectar novamente. Ou se preferir poderá remover o script por completo.
Esta resposta lhe foi útil? 0 Usuários acharam útil (0 Votos)

Powered by WHMCompleteSolution