Skip to content

Detectar script que envia spam en whm/cpanelexim

Para obtener una lista ordenada de correo electrónico del remitente en la cola de correo exim. Se mostrará el número de mensajes a enviados por cada uno.

# exim -bpr | grip “<” | awk {‘print $4’} | cut -d “<” -f 2 | cut -d “>” -f 1 | sort-n | uniq-c | sort-n

Obtendrá un resultado similar a,

1 arun@testdomain.com

2 sales@test1domain.com
3 sandy@test123.com
4 root@testdomain.co.in
29 admin@testdomain.in
124 arun@test123domain.com
=============================================================================================

Los siguientes scripts compruebe la secuencia de comandos que originan los mensajes de spam:

# grip “cwd=/home” /var/log/exim_mainlog | awk ‘{for(i=1;i<=10;i++){print $i}}’ | black | uniq-c | grep cwd | sort-n

# awk ‘{ if ($0 ~cwd” && $0 ~ “home”) {print $3} }’ /var/log/exim_mainlog | black | uniq-c | sort -nk 1

# grep ‘cwd=/home’ /var/log/exim_mainlog | awk ‘{print $3}’ | cut -d / -f 3 | sort -bg | uniq-c | sort -bg

Obtendrá un resultado similar a lo siguiente; La tercera secuencia de comandos es sólo una sub de las dos primeras secuencias de comandos.

9 cwd=/home/test1/public_html

10 cwd=/home/test2/public_html/a1/www
15 cwd=/home/test3/public_html
91 cwd=/home/test4/public_html
178 cwd=/home/test5/public_html/web
770 cwd=/home/test6/public_html/foro
803 cwd=/home/test7/public_html/web
124348 cwd=/home/test8/public_html/wp/wp-content/themes/twentyeleven

=============================================================================================

La siguiente secuencia de comandos muestra script que pueden estar enviando spam. .

# ps auxwwwe | grip <user> | grip –color=always “<location of script>” | head

El uso de la secuencia de comandos es como se muestra a continuación.

# ps auxwwwe | grep test8 | grip –color=always “/home/test8/public_html/wp/wp-content/themes/twentyeleven” | head

Una vez que encuentre el guión exacto, el siguiente script le ayudará a encontrar la dirección IP que es responsable del envío de correo basura. Obtendrá una lista de direcciones IP de la siguiente secuencia de comandos. La dirección IP que tiene un elevado número de acceso es más probable que la causa de spam. Puede bloquear la dirección IP en el LCR o APF firewall.

 

# grip “<script_name>” /home/user/access-logs/testdomain.com | awk ‘{print $1}’ | sort-n | uniq-c | sort-n

=============================================================================================

Siguiente comando que le mostrará la secuencia de comandos que está utilizando secuencia de comandos para enviar el correo electrónico. Si se trata de php a continuación, utilizar# egrep -RX-PHP-Script” /var/spool/exim/input/*

=============================================================================================

It shows top 50 domains using mail server with options.

# eximstats -ne -nr /var/log/exim_mainlog

=============================================================================================

Muestra de la cual de usuario doméstico el correo va, por lo que se puede rastrear fácilmente y bloquearlo si needed.it muestra los mensajes que van desde el servidor.# ps -C exim -fH ewww | grep home

=============================================================================================

It shows the IPs which are connected to server through port number 25. It one particular Ip is using more than 10 connection you can block it in the server firewall.

# netstat -plan | grip :25 | awk {‘print $5’} | cut -d: -f 1 | black | uniq-c | sort -nk 1
==============================================================================================

Con el fin de encontrarnobodyenvío de correo basura, emita el siguiente comando# ps -C exim -fH ewww | awk ‘{for(i=1;i<=40;i++){print $i}}’ | black | uniq-c | grep PWD | sort-n

It will give some result like:
Example :
6 PWD=/
347 PWD=/home/sample/public_html/test
Count the PWD and if it is a large value check the files in the directory listed in PWD
(Ignore if it is / or /var/spool/mail /var/spool/exim)

El comando anterior sólo es válida si el envío de correo basura está actualmente en curso. Si el correo basura que ha sucedido algunas horas antes, utilice el siguiente comando.# grepcwd=” /var/log/exim_mainlog | awk ‘{for(i=1;i<=10;i++){print $i}}’ | black | uniq-c | grep cwd | sort-n

==============================================================================================

La siguiente secuencia de comandos dará el resumen de mensajes en la cola de correo.exim -bpr | exiqsumm -c | head

Count Volume Oldest Newest Domain

—– —— —— —— ——

114 171KB 24h 28m testdomain.com
15 28KB 36h 7m gmail.com
5 10KB 34h 10h test2domain.com
4 8192 27h 4h yourdomain.com
4 75KB 7m 7m server.domain.com
3 6041 23h 42m test123.com

==============================================================================================