برگزیده های پرشین تولز

شناسایی اسکریپت های ارسال اسپم در Exim

h.rezazadeh

کاربر تازه وارد
تاریخ عضویت
24 فوریه 2016
نوشته‌ها
6
لایک‌ها
1
سن
41
محل سکونت
تهران
در صورتیکه میل سرور Exim شما به جهت ارسال ایمیل های اسپم در حجم بالا مورد سوء استفاده قرار می گیرد، می باید نسبت به آگاهی از اسکریپت های موجود در سرور خود که بیشترین ارسال ها را دارند اقدام نموده و بعداز بررسی تعداد ارسال هایی که از آنها انجام شده نسبت به تجزیه و تحلیل های لازم و یافتن اسکریپت های مخرب اقدام و تنظیمات لازم را به جهت جلوگیری از ادامه این روند به عمل آورید.

در این مقاله سعی بر ارائه مراحل انجام این پروسه با ذکر یک نمونه مثال شده است لذا شما می توانید کامندهای اعلام شده را با توجه به خروجی هایی که در سرور خود مشاهده می نمایید تغییر دهید.

1- به سرور مورد نظر با نام کاربری root و رمز عبور مربوطه SSH بزنید.

2- با وارد نمودن دستور ذیل می توانید از لاگ Exim موجود، مکان قرار گیری اسکریپ هایی که بیشترین اجرا را داشته اند مشاهده نمایید :
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort –n​

نمونه از خروجی این کامند در مثال ما به شکل ذیل می باشد :
10 /home/userna5/public_html/about-us
19 /home/userna5/public_html
8833 /home/userna5/public_html/data

در نمونه خروجی مذکور مشخص است که اسکریپتی که در مسیر /home/userna5/public_html/data قرار دارد بیشترین تعداد ارسال ایمیل را داشته است لذا به جهت آگاهی از اسکریپت(های) موجود در این مسیر باید از دستور ذیل استفاده نمود :
ls -lahtr /userna5/public_html/data​

نمونه خروجی دستور بالا در مثال ما به شرح ذیل می باشد :
drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../
-rw-r--r-- 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./​

با توجه به نمونه خروجی مذکور می توان نتیجه گرفت که اسکریپتی به نام mailer.php احتمالاً همان اسکریپتی است که باعث ارسال 8833ایمیل ثبت شده در لاگ فایل (نمونه خروجی قسمت قبلی) شده است.

با توجه به نتایج بالا هم اکنون می توان از طریق لاگ فایل آپاچی، لیستی از IP هایی که به این فایل دسترسی داشتند را مشاهده نمود. برای مشاهده این گزارش کافیست دستور ذیل را وارد نمایید :
grep "mailer.php" /home/userna5/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort –n​


نمونه خروجی دستور مذکور در مثال ما به شرح ذیل می باشد :
5 134.134.134.134
4 135.130.121.110
4 155.17.170.10
8833 134.134.123.150​

همانطور که در نمونه خروجی بالا قابل مشاهده است، آی پی 134.134.123.150 بیشترین دسترسی را به فایل مربوطه داشته است. حال می توان به سادگی نسبت به بلاک نمودن این IP در فایروال سرور، از طریق دستور ذیل اقدام نمود.
apf -d 134.134.123.150"Spamming from script in /home/userna5/public_html/data"​

دقت داشته باشید که تنها پایین بودن تعداد دسترسی به فایلی که از مخرب بودن آن اطمینان دارید، دلیل لازم و کافی به عدم وجود مشکل نمی باشد چرا که این امکان وجود دارد که تنها با یک بار دسترسی به فایل مخرب، چندین هزار ایمیل ارسال گردد. لذا در این شرایط تنها بستن IP مورد نظر باعث می شود که اسکریپت مربوطه از IP مذکور اجرا نگردد ولی امکان اجرای آن برای دیگر آی پی ها به قوت خود باقی می باشد. بهتر است در صورتیکه از مخرب بودن فایل مورد نظر اطمینان دارید حتماً پرمیشن فایل مربوطه را به صورت کامل برداشته و یا فایل مربوطه را تغییر نام داده و مجدداً سرور را به صورت کامل بررسی نمایید تا از عدم وجود دیگر اسکریپت های مخرب و رفع کامل مشکل مطمئن شوید.

منبع :
 
بالا