Primeiro você precisa logar via SSH em seu servidor com cPanel
Passo 01:
Executando o comando:
O [NÚMERO] representa os emails enviados.
A parte que fica apóa a barra representa a [LOCALIZAÇÃO DO SCRIPT]
Assim facilita para parar o spam imediatamente (suspende a conta) e ai verificar os scripts da conta.
Em caso de um número muito alto de e-mails, uma boa dica é remover o script da hospedagem da conta.
Caso volte a ocorrer novamente, aí você suspende a conta do usuário.
Passo 2 - Agora podemos executar o seguinte comando para ver os scripts que estão localizados no diretório:
Neste caso recebemos de volta:
Como podemos ver, há um script chamado mailer.php neste diretório.
Passo 3 - Sabendo o script mailer.php estava enviando e-mail pelo Exim, podemos agora dar uma olhada no log de acesso Apache para ver os endereços IP que estão acessando este script usando o seguinte comando:
Você deve receber de volta algo semelhante a isto:
Podemos ver que o endereço IP 123.123.123.123 está usando o script mailer em uma natureza mal-intencionada.
Passo 4 - Se você encontrar um endereço IP malicioso com envio de um grande volume de e-mails a partir de um script, você deve bloquea-lono firewall do servidor para que ele não possa tentar se conectar novamente. Ou se preferir poderá remover o script por completo.
Executando o comando:
#grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
Receberá algo semelhante:
370 /home/$USER1/public_html/LOCALIZAÇÃO-SCRIPT-DE-ENVIO-DE-EMAIL
O [NÚMERO] representa os emails enviados.
A parte que fica apóa a barra representa a [LOCALIZAÇÃO DO SCRIPT]
Assim facilita para parar o spam imediatamente (suspende a conta) e ai verificar os scripts da conta.
Em caso de um número muito alto de e-mails, uma boa dica é remover o script da hospedagem da conta.
Caso volte a ocorrer novamente, aí você suspende a conta do usuário.
Passo 2 - Agora podemos executar o seguinte comando para ver os scripts que estão localizados no diretório:
| ls -lahtr /userna5/public_html/data |
Neste caso recebemos de volta:
| drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../ -rw-r--r-- 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./ |
Como podemos ver, há um script chamado mailer.php neste diretório.
Passo 3 - Sabendo o script mailer.php estava enviando e-mail pelo Exim, podemos agora dar uma olhada no log de acesso Apache para ver os endereços IP que estão acessando este script usando o seguinte comando:
| grep "mailer.php" /home/userna5/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort -n |
Você deve receber de volta algo semelhante a isto:
| 2 123.123.123.126 2 123.123.123.125 2 123.123.123.124 7860 123.123.123.123 |
Podemos ver que o endereço IP 123.123.123.123 está usando o script mailer em uma natureza mal-intencionada.
Passo 4 - Se você encontrar um endereço IP malicioso com envio de um grande volume de e-mails a partir de um script, você deve bloquea-lono firewall do servidor para que ele não possa tentar se conectar novamente. Ou se preferir poderá remover o script por completo.
