Encontrando e Eliminando Scripts Utilizados para Prática de Spam em Servidores cPanel

Primeiro passo é acessar o servidor via ssh;

Após logado no servidor execute o comando a seguir;

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" {'print $2'} | awk {'print $1'} |sort | uniq -c | sort -n

Você receberá um retorno semelhante a este:

207 /home/user1
158 /home/user2/public_html/images
101 /home/user3
3124 /home/user4/public_html/data

Observe que uma das pastas listadas acima tem mais envios do que as demais "/home/user4/public_html/data"

Agora vamos listar os scritps contidos no diretório suspeito, para isto utilizamos o comando a seguir;

ls -lahtr /home/user4/public_html/data

Você receberá um retorno semelhante a este na saída do comando supracitado;

• rw-r--r-- 1 user4 user4 11K May 23 13:45 mail.php

drwxr-xr-x 7 user4 user4 188 May 23 13:45 ..
drwxr-xr-x 4 user4 user4 4.0K May 23 13:45 .

Como sabemos que script mail.php faz envios pelo exim nós precisamos analisar os logs do servidor web para
encontrarmos os endereços ips responsáveis pelo abuso:

grep "mail.php" /home/user4/access-log/example.com

2 198.33.67.11
2 177.112.95.7
2 111.2.5.133
66666 111.51.77.199

É nítido que o endereço ip 111.51.77.199 está com má intensão, como pode ser visto no log o volume de envios realizados via
esse endereço ip é gritante.

O próximo passo é bloquear o ip do atacante no firewall do servidor, você pode executar o comando abaixo para isto:

csf -d 111.51.77.199

Recomendamos também, bloquear o script com permissão 000, deixa-lo imutável e entrar em contato com a equipe responsável por
desenvolve-lo para que seja implementada algum tipo de segurança como o captcha por exemplo.