Detectar script que envia spam en whm/cpanel – exim

Para obtener una lista ordenada de correo electrónico del remitente en la cola de correo exim. Se mostrará el número de mensajes a enviados por cada uno.

# exim -bpr | grep “<” | awk {‘print $4’} | cut -d “<” -f 2 | cut -d “>” -f 1 | sort -n | uniq -c | sort -n

Obtendrá un resultado similar a,

1  arun@testdomain.com

2  sales@test1domain.com
3  sandy@test123.com
4  root@testdomain.co.in
29  admin@testdomain.in
124  arun@test123domain.com
=============================================================================================

Los siguientes scripts compruebe la secuencia de comandos que originan los mensajes de spam:

# grep “cwd=/home” /var/log/exim_mainlog | awk ‘{for(i=1;i<=10;i++){print $i}}’ | sort | uniq -c | grep cwd | sort -n

# awk ‘{ if ($0 ~ “cwd” && $0 ~ “home”) {print $3} }’ /var/log/exim_mainlog | sort | uniq -c | sort -nk 1

# grep ‘cwd=/home’ /var/log/exim_mainlog | awk ‘{print $3}’ | cut -d / -f 3 | sort -bg | uniq -c | sort -bg

Obtendrá un resultado similar a lo siguiente; La tercera secuencia de comandos es sólo una sub de las dos primeras secuencias de comandos.

9      cwd=/home/test1/public_html

10     cwd=/home/test2/public_html/a1/www
15     cwd=/home/test3/public_html
91     cwd=/home/test4/public_html
178    cwd=/home/test5/public_html/web
770    cwd=/home/test6/public_html/foro
803    cwd=/home/test7/public_html/web
124348 cwd=/home/test8/public_html/wp/wp-content/themes/twentyeleven

=============================================================================================

La siguiente secuencia de comandos muestra script que pueden estar enviando spam. .

# ps auxwwwe | grep <user> | grep –color=always “<location of script>” | head

El uso de la secuencia de comandos es como se muestra a continuación.

# ps auxwwwe | grep test8 | grep –color=always “/home/test8/public_html/wp/wp-content/themes/twentyeleven” | head

Una vez que encuentre el guión exacto, el siguiente script le ayudará a encontrar la dirección IP que es responsable del envío de correo basura. Obtendrá una lista de direcciones IP de la siguiente secuencia de comandos. La dirección IP que tiene un elevado número de acceso es más probable que la causa de spam. Puede bloquear la dirección IP en el LCR o APF firewall.

 

# grep “<script_name>” /home/user/access-logs/testdomain.com | awk ‘{print $1}’ | sort -n | uniq -c | sort -n

=============================================================================================

Siguiente comando que le mostrará la secuencia de comandos que está utilizando secuencia de comandos para enviar el correo electrónico. Si se trata de php a continuación, utilizar# egrep -R “X-PHP-Script”  /var/spool/exim/input/*

=============================================================================================

It shows top 50 domains using mail server with options.

# eximstats -ne -nr /var/log/exim_mainlog

=============================================================================================

Muestra de la cual de usuario doméstico el correo va, por lo que se puede rastrear fácilmente y bloquearlo si needed.it muestra los mensajes que van desde el servidor.# ps -C exim -fH ewww | grep home

=============================================================================================

It shows the IPs which are connected to server through port number 25. It one particular Ip is using more than 10 connection you can block it in the server firewall.

# netstat -plan | grep :25 | awk {‘print $5’} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
==============================================================================================

Con el fin de encontrar “nobody” envío de correo basura, emita el siguiente comando# ps -C exim -fH ewww | awk ‘{for(i=1;i<=40;i++){print $i}}’ | sort | uniq -c | grep PWD | sort -n

It will give some result like:
Example :
6 PWD=/
347 PWD=/home/sample/public_html/test
Count the PWD and if it is a large value check the files in the directory listed in PWD
(Ignore if it is / or /var/spool/mail /var/spool/exim)

El comando anterior sólo es válida si el envío de correo basura está actualmente en curso. Si el correo basura que ha sucedido algunas horas antes, utilice el siguiente comando.# grep “cwd=” /var/log/exim_mainlog | awk ‘{for(i=1;i<=10;i++){print $i}}’ | sort | uniq -c | grep cwd | sort -n

==============================================================================================

La siguiente secuencia de comandos dará el resumen de mensajes en la cola de correo.exim -bpr | exiqsumm -c | head

Count  Volume  Oldest  Newest  Domain

—–      ——      ——     ——       ——

114   171KB     24h     28m  testdomain.com
15    28KB       36h     7m    gmail.com
5     10KB       34h     10h   test2domain.com
4     8192        27h     4h     yourdomain.com
4     75KB       7m      7m    server.domain.com
3     6041        23h     42m  test123.com

==============================================================================================

Warning: Parameter 1 to transposh_plugin::process_page() expected to be a reference, value given in /home/mundodel/public_html/wp-includes/functions.php on line 3718