TShopping

 找回密碼
 註冊
搜索
查看: 2320|回復: 0

[CentOS] Cpanel 某個email被發垃圾信該怎麼處理

[複製鏈接]
發表於 2019-4-19 14:33:12 | 顯示全部樓層 |閱讀模式
 
Push to Facebook
如果不會處理可先關閉EXIM
但MAIL SERVER服務就停了喔
  1. systemctl stop exim.service
複製代碼


近日發現Cpanel 某個email被發垃圾信
但是又不知如何處理
剛好看到一篇相關文章
通常,垃圾郵件可以通過三種方式發生。
1.通過黑客攻擊具有簡單密碼的電子郵件帳戶,這很容易猜到。
2.通過在服務器上上傳腳本,定期發送郵件。
3.通過發送大量電子郵件的論壇或新聞稿腳本。
解決垃圾郵件問題意味著:
*阻止IP地址,如果它是傳入垃圾郵件。(使用iptables或csf,apf)
*更改密碼,禁用郵件列表和腳本,甚至暫停帳戶,如果它是外發垃圾郵件。
情況1:
進入終端機
輸入
  1. exim -­bpc
複製代碼
出現160-163
1.png
在隊列中找到一個號碼後,通過命令檢查垃圾郵件
  1. exim -­bp | tail ­-10
複製代碼

2.png
如:
  1. 0m 1.5K 1XV6jK­0005iy­RF <user@domain.com>
  2. user@example.com
  3. 0m 1.5K 1XV85i­000223­B6 <user@domain.com>
  4. user@example1.com
  5. 0m 1.5K 1XV9T1­0003ET­D3 <user@domain.com>
  6. user@example2.com
  7. 3) Check for each mail’s header by hitting the command, ‘exim ­Mvh message ID’.
  8. For example:
  9. #exim ­-Mvh 1XV6jK­0005iy­RF
  10. ————————————-
  11. 1XV6jK­0005iy­RF­H
  12. user 614 32007
  13. <user@domain.com>
  14. 1411165962 0
  15. ident user
  16. received_protocol local
  17. body_linecount 23
  18. max_received_linelength 98

  19. auth_id user

  20. auth_sender user@domain.com
  21. allow_unqualified_recipient
  22. allow_unqualified_sender
  23. local
  24. XX
  25. 1
  26. user@example.com
  27. id 1XV6jK­0005iy­RF
  28. for user@example.com; Sat, 20 Sep 2014 06:32:42 +0800
  29. 060T To: =?UTF­8?B?bXlybmFpdTM=?= <user@example.com>
  30. 099 Subject:
  31. =?UTF­8?B?V2VsY29tZSB0byAiQXNpYSBQYWNpZmljIFBsYW5lIFNwb3R0ZXJzIEZvcnVt?=
  32. =?UTF­8?B?Ig==?=
  33. 026F From: <user@domain.com>
  34. 030R Reply­To: <user@domain.com>
  35. 033* Return­Path: <user@domain.com>
  36. 028* Sender: <user@domain.com>
  37. 018 MIME­Version: 1.0
  38. 059I Message­ID: <593045bb511db542f2a9955da9509c67@pvollering.com>
  39. 038 Date: Sat, 20 Sep 2014 06:32:42 +0800
  40. 040 Content­Type: text/plain; charset=UTF­8
  41. 032 Content­Transfer­Encoding: 8bit
  42. 014 X­Priority: 3
  43. 026 X­MSMail­Priority: Normal
  44. 017 X­Mailer: phpBB3
  45. 018 X­MimeOLE: phpBB3
  46. 046 X­phpBB­Origin: phpbb://www.domain.com/phpbb/ucp.php
  47. 061 X­AntiAbuse: Board servername ­ =?UTF­8?B?cHZvbGxlci5uZXQ=?=
  48. 025 X­AntiAbuse: User_id ­ 1
  49. 049 X­AntiAbuse: Username ­ =?UTF­8?B?QW5vbnltb3Vz?=
  50. 038 X­AntiAbuse: User IP ­ xxx.xxx.xxx.xxx
複製代碼
這時可以看到auth_id user 授權者的EMAIL信箱
這時有可能是該帳號下的PHP 腳本亂發信
  1. cd /var/spool/exim/input
  2. egrep "X­PHP­Script" * ­R
複製代碼



這時這ID會被列出來,且找到發垃圾信的標頭
  1. grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort |uniq -c | sort -n
複製代碼

如:
/home/domain/public_html/phpbb

我們能看目錄 /home/domain/public_html/phpbb 看到亂發信的檔案.

如這檔案 www.domain.com/phpbb/ucp.php


如:改變檔案權限

  1. #cd /home/domain/public_html/phpbb
  2. #chown root: ucp.php
  3. #chmod 000 ucp.php
複製代碼


看到APACHE通過這腳本到IP發信


  1. #grep "ucp.php" /home/domain/access­logs/domain.com | awk '{print $1}' | sort ­n | uniq ­c | sort ­n
複製代碼


You should get back something similar to this:

10408 xxx.xxx.xxx.xxx
其實也可以不找 把該EMAIL帳號刪掉也可以
用  
  1. exim ­-Mvh 1XV6jK­0005iy­RF
複製代碼

回應內容
  1. Subject:
  2. Cron <user@ns1> ~/.ssh/.pibody -mc
複製代碼
發現排程被寫入,檔案在 ~user/.ssh/.pibody 檔案被隱藏
  1. crontab -l -u user

  2. * * * * * /home/user/Linux_amd64  > /dev/null 2>&1
  3. */1 * * * * ~/.ssh/.pibody -mc
複製代碼

到該user目錄下


  1. ls -la
複製代碼
殺掉 Linux_amd64 及.ssh/.pibody檔案即可


文章出處:NetYea 網頁設計

參考文章:https://www.supportpro.com/blog/fix-spamming-in-cpanel-exim-server/https://www.2daygeek.com/start-stop-restart-enable-reload-exim-mail-server-service-in-linux/






 

臉書網友討論
*滑块验证:
您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則



Archiver|手機版|小黑屋|免責聲明|TShopping

GMT+8, 2024-3-29 19:06 , Processed in 0.061803 second(s), 26 queries .

本論壇言論純屬發表者個人意見,與 TShopping綜合論壇 立場無關 如有意見侵犯了您的權益 請寫信聯絡我們。

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回復 返回頂部 返回列表