Primeiro passo é acessar o servidor via ssh;
Após logado no servidor execute o comando a seguir;
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" {'print $2'} | awk {'print $1'} |sort | uniq -c | sort -n
Você receberá um retorno semelhante a este:
207 /home/user1
158 /home/user2/public_html/images
101 /home/user3
3124 /home/user4/public_html/data
Observe que uma das pastas listadas acima tem mais envios do que as demais "/home/user4/public_html/data"
Agora vamos listar os scritps contidos no diretório suspeito, para isto utilizamos o comando a seguir;
ls -lahtr /home/user4/public_html/data
Você receberá um retorno semelhante a este na saída do comando supracitado;
rw-r--r-- 1 user4 user4 11K May 23 13:45 mail.php
drwxr-xr-x 7 user4 user4 188 May 23 13:45 ..
drwxr-xr-x 4 user4 user4 4.0K May 23 13:45 .
Como sabemos que script mail.php faz envios pelo exim nós precisamos analisar os logs do servidor web para
encontrarmos os endereços ips responsáveis pelo abuso:
grep "mail.php" /home/user4/access-log/example.com
2 198.33.67.11
2 177.112.95.7
2 111.2.5.133
66666 111.51.77.199
É nítido que o endereço ip 111.51.77.199 está com má intensão, como pode ser visto no log o volume de envios realizados via
esse endereço ip é gritante.
O próximo passo é bloquear o ip do atacante no firewall do servidor, você pode executar o comando abaixo para isto:
csf -d 111.51.77.199
Recomendamos também, bloquear o script com permissão 000, deixa-lo imutável e entrar em contato com a equipe responsável por
desenvolve-lo para que seja implementada algum tipo de segurança como o captcha por exemplo.