PingLord Posted April 10, 2012 Report Posted April 10, 2012 Intereseaza pe cineva un tutorial despre mail spam abusers?Diferenta dintre cei care au ramas fara parola si cei care au exploit script de spam pe cont? Quote
Guest expl0iter Posted April 10, 2012 Report Posted April 10, 2012 De ce vrei neaparat parerea noastra?Fa-l si posteaza-l... Quote
PingLord Posted April 10, 2012 Author Report Posted April 10, 2012 (edited) La cererea lui expl0iter care m-a convins profund si ii multumesc pentru asta voi scrie acest tutorial micut. In primul rand pe orice sistem ce intra in administrarea unui sysadmin,o unealta foarte importanta de care trebuie sa se foloseasca sunt log-urile.In cazul unui server shared hosting cum se intampla de obicei la firmele de hosting,stim foarte bine ca ne mai trezim cu un cont defaced sau cu un mail abuser.In momentul cand vedem un load foarte mare sau avem un mailqueue gigantic verificam exim mainlog.Pasul 1 : grep dupa domeniu cu wildcard in fata si vom vedea activitatea aferenta acelui cont/domeniu.Daca se depaseste limita de mail-uri impuse per cont ( asa cum e normal pe un shared ) vom vedea ceva de genu :2012-04-10 04:38:49 1RpJAf-0001oA-01 ** gheorghe@hotmail.com R=checkspam2: Domain numedomeniu.com has exceeded the max emails per hour (400) allowed. Message discarded. Pasul 2.Am identificat in log-uri ca avem domeniu ce depaseste limita si vrem sa identificam problema daca se trimite prin script de exploited sau a ramas vreun user de mail al acelui domeniu fara parola.Facem grep in exim mainlog dupa id-ul gasit mai sus dupa data.In cazul nostru 1RpJAf-0001oA-01 .Output-ul va fi ceva asemanator :2012-04-10 04:38:49 1RpJAf-0001oA-01 <= techmail@numedomeniu.com H=88-55-111-45.dynamic.net (numedomeniu.com) [88.55.111.45] P=esmtpsa X=TLSv1:AES256-SHA:256 A=dovecot_login:username S=4463 id=7Q3B145E.A5E32528@numedomeniu.comIn acest caz,avand un cont de mail cu @numedomeniu "techmail@numedomeniu.com" inseamna ca acest cont a ramas fara parola ( vreun stealer sau cine stie cum ) si se rezolva prin schimbarea parolei a contului.Daca output-ul este de genul :2012-04-10 12:11:12 1RpJAf-0001oA-01 <= username@serveruldehost.com U=username P=local S=40182 Atunci se foloseste un script de pe contul userului pentru trimiterea mailurilor spam.Ca sa identificam cat mai rapid scriptul si sa ii dam disable cu chmod 000 chown root:root facem un grep in log-urile de apache.In cazul meu :grep POST /usr/local/apache/domlogs/*numedomeniu.com si va iesi in evidenta un php ce va arata scriptul in cauza.Stiu ca a fost un tutorial succint dar poate ajuta pe cineva ce este la inceput.Later edit :Se mai poate face si grep pe cont pentru identificare de scripturi cu :grep -Rl numemails /home/numeuser/public_htmlgrep -Rl FilesMan /home/numeuser/public_htmlgrep -Rl "PHP Mailer" /home/numeuser/public_html Edited April 10, 2012 by PingLord am uitat ceva Quote
PingLord Posted April 11, 2012 Author Report Posted April 11, 2012 Astept parerea lu expl0iter,el e the GodFather pe acest thread.Lui tre sa ii multumiti Quote
PingLord Posted April 11, 2012 Author Report Posted April 11, 2012 Wildchild,nu ai vazut ce convingator a fost?? Quote
