کشف مکان قرارگیری اسکریپت های اسپم در Exim

زمانی که میل سرور شما از طریق اسکریپت های ارسال ایمیلی که برای بخش هایی همچون اطلاع رسانی، معرفی به دوستان و ... مورد سوء استفاده قرار می گیرد برای آگاهی از اسکریپ هایی که  بیشترین ارسال را داشته و مکان قرارگیری برخی از آنها که به نظر مخرب هستند می باید مراحل ذیل را دنبال نمایید :

1-      از طریق SSH و با کاربری root به سرور مربوطه لاگین نمایید.

2-      با استفاده از کامند ذیل از لاگ فایل Exim مکان اسکریپ های ایمیلی که بیشترین استفاده را داشته اند مشاهده نمایید

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort –n

خروجی این کامند چیزی شبیه به ذیل است :

15 /home/userna5/public_html/about-us

25 /home/userna5/public_html

7866 /home/userna5/public_html/data

همانطور که در خروجی مثال بالا مشخص است اسکریپتی که در مسیر /home/userna5/public_html/data قرار دارد بیشترین تحویل را به خود اختصاص داده است لذا می توان از کامند ذیل برای آگاهی از اسکریپت های موجود در این مسیر استفاده نمود :

ls -lahtr /userna5/public_html/data

در مثال مربوطه خروجی این دستور به شکل ذیل می باشد :

drwxr-xr-x 17 userna5 userna5 4.0K Jan 20 10:25 ../

-rw-r--r-- 1 userna5 userna5 5.6K Jan 20 11:27 mailer.php

drwxr-xr-x 2 userna5 userna5 4.0K Jan 20 11:27 ./

همانطور که قابل مشاهده است اسکریپتی به نام mailer.php در پوشه مورد نظر قرار دارد و انتظار می رود که همان اسکریپتی باشد که باعث ارسال 7866 ایمیل ثبت شده در لاگ فایل باشد. حال می توان لیست آی پی هایی که به این فایل دسترسی داشتند را در لاگ فایل آپاچی از طریق کامند ذیل مشاهده نمود :

grep "mailer.php" /home/userna5/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort –n

خروجی دستور بالا در مثال مربوطه به شرح ذیل می باشد :

2 123.123.123.126

2 123.123.123.125

2 123.123.123.124

7860 123.123.123.123

در خروجی مثال بالا قابل مشاهده است که آی پی 123.123.123.123 بیشترین دسترسی را به فایل مربوطه داشته است لذا در صورت کشف آی پی عامل مخرب می توان نسبت به بلاک نمودن دسترسی آن (در فایروال سرور) به فایل مربوطه از طریق وارد نمودن کامند ذیل اقدام نمود

apf -d 123.123.123.123 "Spamming from script in /home/userna5/public_html/data"

توضیحات :

1-      برای استفاده از کامندهای اعلام شده باید نسبت به خروجی های مشاهده شده در سرور خود نسبت به تغییر مسیرها موجود در کامندها اقدام نمایید.

2-      دقت داشته باشید که تعداد دسترسی های کم از طریق یک یا چند آی پی آدرس (به فایلی که از مخرب بودن آن اطمینان دارید) نشان دهنده عدم وجود مشکل نمی باشد بلکه ممکن است با هر دسترسی و اجرای کامند چندین هزار ایمیل ارسال شده باشد لذا در این شرایط بلاک کردن آی پی کمکی به جلوگیری از ارسال ها نخواهد کرد و بهتر است برای اطمینان پرمیشن فایل مربوطه را برداشته و یا فایل مربوطه را تغییر نام داده و مجدداً سرور را بررسی نموده تا از کشف اسکریپت مشکل ساز اطمینان یابید.

خوانده شده