Я использую сервер WHM с cPanel на сервере Centos. CENTOS 7.2 x86_64 kvm - администратор WHM 58.0 (сборка 24) cPanel 58.0.24
Время от времени некоторые cPanel-аккаунты подвергаются взлому и рассылке спам-писем. Как мне найти источник проблемы и остановить ее?
Если у вас есть учетные записи, которые взламывают для рассылки спама, я предполагаю, что в их системе установлен какой-то сценарий спама.
Прежде чем начать: я приобрел сканер Configserver eXploit около двух лет назад, он сканирует файлы на сервере и помогает мне определить некоторые сценарии спама, прежде чем их можно будет использовать. Возможно, вы захотите посмотреть и эту программу, если столкнетесь с этой проблемой.
Если это действительно так, то это руководство весьма полезно для решения проблемы. Это помогло мне найти файлы, которые отправляют большое количество почты уже несколько раз.
Это сводится к следующему:
1. Запустите следующую команду. Он дает вам список каталогов, из которых были отправлены электронные письма. Это ищет ваш exim_mainlog (по умолчанию находится в /var/log/exim_mainlog ). Если спам был отправлен давно, возможно, что с тех пор файл журнала был повернут, и вы не сможете найти каталоги с помощью этой команды. Попробуйте найти старый файл журнала и запустить вместо него первую команду grep .
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
2. Перейдите в каталоги, возвращенные командой выше, и проверьте файлы там. По моему опыту, большинство из этих спам-скриптов используют довольно очевидные имена файлов, но не повредит проверять файлы, в которых вы не уверены.
3. Изучите журнал доступа Apache, чтобы узнать, кто вызывает скрипт. Эта команда перечисляет все IP-адреса, которые обращались к файлу с возрастающей частотой.
grep "<scriptname>" /home/<username>/access-logs/<domain>.<tld> | awk '{print $1}' | sort -n | uniq -c | sort -n
4. Также возможно, что команда выполняется с помощью задания cron. Используйте эту команду для проверки пользовательских заданий cron.
crontab -l -u <username>
5. Принять соответствующие меры
Вы можете приостановить учетную запись, заблокировать IP-адреса, которые обращались к сценарию, или удалить содержимое. Делайте то, что считаете лучшим для вас.