web-dev-qa-db-fra.com

Comment trouver quel script sur mon serveur envoie des spams?

Mon serveur envoie le courrier indésirable et je ne parviens pas à savoir quel script les envoie.

Les e-mails provenaient tous de nobody@myhost si désactivé du cpanel que nobody ne devrait pas être autorisé à envoyer des e-mails

Maintenant au moins ils ne sortent pas, je continue de les recevoir. Voici le courrier que je reçois:

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  [email protected]
    Mail sent by user nobody being discarded due to sender restrictions in WHM->Tweak Settings

------ This is a copy of the message, including all the headers. ------

Return-path: <[email protected]>
Received: from nobody by cpanel.myserver.com with local (Exim 4.80)
        (envelope-from <[email protected]>)
        id 1UBBap-0007EM-9r
        for [email protected]; Fri, 01 Mar 2013 08:34:47 +1030
To: [email protected]
Subject: Order Detail
From: "Manager Ethan Finch" <[email protected]>
X-Mailer: Fscfz(ver.2.75)
Reply-To: "Manager Ethan Finch" <[email protected]>
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----------1362089087512FD47F4767C"
Message-Id: <[email protected]>
Date: Fri, 01 Mar 2013 08:34:47 +1030

------------1362089087512FD47F4767C
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit

Voici mes journaux pour les journaux exim:

2013-03-01 14:36:00 no IP address found for Host gw1.corpgw.com (during SMTP connection from [203.197.151.138]:54411)
2013-03-01 14:36:59 H=() [203.197.151.138]:54411 rejected MAIL [email protected]: HELO required before MAIL
2013-03-01 14:37:28 H=(helo) [203.197.151.138]:54411 rejected MAIL [email protected]: Access denied - Invalid HELO name (See RFC2821 4.1.1.1)
2013-03-01 14:37:28 SMTP connection from (helo) [203.197.151.138]:54411 closed by DROP in ACL
2013-03-01 14:37:29 cwd=/var/spool/exim 2 args: /usr/sbin/exim -q
2013-03-01 14:37:29 Start queue run: pid=12155
2013-03-01 14:37:29 1UBBap-0007EM-9r ** [email protected] R=enforce_mail_permissions: Mail sent by user nobody being discarded due to sender restrictions in WHM->Tweak Settings
2013-03-01 14:37:29 cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1UBBap-0007EM-9r
2013-03-01 14:37:30 1UBHFp-0003A7-W3 <= <> R=1UBBap-0007EM-9r U=mailnull P=local S=7826 T="Mail delivery failed: returning message to sender" for [email protected]
2013-03-01 14:37:30 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1UBHFp-0003A7-W3
2013-03-01 14:37:30 1UBBap-0007EM-9r Completed
2013-03-01 14:37:32 1UBHFp-0003A7-W3 aspmx.l.google.com [2607:f8b0:400e:c00::1b] Network is unreachable
2013-03-01 14:37:38 1UBHFp-0003A7-W3 => [email protected] <[email protected]> R=lookuphost T=remote_smtp H=aspmx.l.google.com [74.125.25.26] X=TLSv1:RC4-SHA:128
2013-03-01 14:37:39 1UBHFp-0003A7-W3 Completed
2013-03-01 14:37:39 End queue run: pid=12155
2013-03-01 14:38:20 SMTP connection from [127.0.0.1]:36667 (TCP/IP connection count = 1)
2013-03-01 14:38:21 SMTP connection from localhost [127.0.0.1]:36667 closed by QUIT
2013-03-01 14:42:45 cwd=/ 2 args: /usr/sbin/sendmail -t
2013-03-01 14:42:45 1UBHKv-0003BH-LD <= [email protected] U=root P=local S=1156 T="[cpanel.server.com] Root Login from IP 122.181.3.130" for [email protected]
2013-03-01 14:42:45 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1UBHKv-0003BH-LD
2013-03-01 14:42:47 1UBHKv-0003BH-LD aspmx.l.google.com [2607:f8b0:400e:c00::1a] Network is unreachable
2013-03-01 14:42:51 1UBHKv-0003BH-LD => [email protected] R=lookuphost T=remote_smtp H=aspmx.l.google.com [74.125.25.27] X=TLSv1:RC4-SHA:128
2013-03-01 14:42:51 1UBHKv-0003BH-LD Completed
2013-03-01 14:43:22 SMTP connection from [127.0.0.1]:37499 (TCP/IP connection count = 1)
2013-03-01 14:43:23 SMTP connection from localhost [127.0.0.1]:37499 closed by QUIT

Existe-t-il un moyen de trouver quel script ou quel utilisateur les génère?

12
user75380

Linux Malware Detect ( http://www.rfxn.com/projects/linux-malware-detect/ ) l'installation est assez facile :). Allez via ce lien, téléchargez http://www.rfxn.com/downloads/maldetect-current.tar.gz . Le lien vers ce fichier est situé tout en haut de la page Web. Décompressez ensuite cette archive, accédez au répertoire nouvellement créé en exécutant cd dans votre terminal. Dans le répertoire, exécutez

Sudo ./install.sh

qui installera le scanner sur votre système. Pour effectuer la numérisation elle-même, vous devez exécuter

Sudo/usr/local/sbin/maldet -a /

-une option ici signifie que vous souhaitez scanner tous les fichiers. Utilisez plutôt -r pour analyser uniquement les plus récents./spécifie le répertoire dans lequel l'analyse doit être effectuée. Il vous suffit donc de le modifier dans le répertoire de votre choix.

Juste ça )

22

Les e-mails provenaient tous de nobody@myhost

Recherchez tous les processus qui s'exécutent en tant que nobody:

ps -U nobody

Connexion SMTP depuis [127.0.0.1]: 36667 (nombre de connexions TCP/IP = 1)

Exécutez netstat sous watch pour voir quel processus se connecte au port 25:

watch 'netstat -na | grep :25'

Ces étapes peuvent vous aider à découvrir que le coupable est le ... serveur Web. Ensuite, vous pouvez exécuter un strace pour voir quel script est appelé lorsqu'un e-mail est envoyé:

strace -f -e trace=open,stat -p 1234 -o wserver.strace

(1234 est le PID parent du processus du serveur Web)

8
quanta

Exécutez un scanner de malware, tel que maldet , ou AVG , ou les deux, sur les données de votre utilisateur. La plupart des scripts malveillants sont détectés par ces outils.

4
Michael Hampton