Temos um servidor CentOS, rodando Sendmail e ISPConfig como painel. Recentemente, notamos um grande aumento no tráfego proveniente de uma conta falsa do Google. Os registros mostram centenas de e-mails enviados em um curto espaço de tempo.
Estamos tentando isolar o script, mas temos vários sites em execução e não sabemos onde procurar primeiro.
Ideias?
-- Como não houve resultados, presumo que ou as pessoas não sabem, que nunca será fácil ou que não estou fornecendo informações suficientes.
Tentamos pesquisar os arquivos no servidor por '@yahoo' e similares, mas há uma chance de que o endereço de e-mail esteja sendo obtido de um site ou arquivo externo. Podemos determinar facilmente quaisquer referências a arquivos externos? Usamos arquivos .js internos para tudo, então não deve haver muitos deles.
ou qualquer outra ideia..
Responder1
Por que você considera que deve ser um script no seu servidor que está enviando esses e-mails? você mencionou que tem o sendmail na máquina em execução - talvez ele esteja agindo como retransmissão aberta ou alguém tenha configurado outro processo que encaminha mensagens dele para o seu sendmail real?
Verifique primeiro o testador de retransmissão aberta do host, talvez:http://www.abuse.net/relay.html
Então, pelo menos eu começaria com esta lista de verificação:
- verifique se o sendmail atua como retransmissão aberta
- parar o sendmail para enviar todos os e-mails e verificar o que entra na fila - os cabeçalhos do próprio e-mail bruto podem oferecer algumas pistas?
- verifique quais portas você abriu e verifique se cada porta aberta corresponde ao aplicativo que você sabe que deveria estar em execução.
- durante a enxurrada de e-mails que chegam ao seu servidor, verifique o que está acontecendo com netstat e lsof
Responder2
Você pode executar lsof enquanto o spam está ocorrendo para ver quais arquivos no servidor estão sendo acessados.
Além disso, enquanto o spam estiver na fila, tente examinar o conteúdo da mensagem antes de ela ser enviada para ver se ela fornece alguma pista sobre sua origem. Por exemplo, se for de um formulário em um dos sites hospedados no servidor, poderá revelar um campo exclusivo no formulário, que você pode extrair dos arquivos do site.