Cara menemukan lokasi spam di cpanel server menggunakan exim

,

1. Login ke server via ssh
2. Jalankan perintah :
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
3. Contoh hasil outputnya adalah seperti ini :
  129 /home/usernama/public_html
    148 /home/usernamea/public_html/mobile
    519 /home/usernameb
    906 /home/usernamec/public_html/forum
   1245 /home/usernamed
   1249 /home/usernamee/data

4.  Terlihat tersangka ada di (1249 /home/usernamee/data) karena terdapat lebih banyak pengiriman yang datang dibanding yang lain.

5.  Sekarang kita lihat ada file apa di folder tersangka, gunakan perintah berikut :
ls -lahtr /home/usernamee/data

6. Contoh hasilnya adalah :
drwxr-xr-x 17 usernamee usernamee 4.0K Jan 20 10:25 ../
-rw-r--r-- 1 usernamee usernamee 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 usernamee usernamee 4.0K Jan 20 11:27 ./

7. Terdapat file script mailer.php atau file script bisa berupa nama yang aneh lainnya.

8. Jalankan perintah berikut  (tergantung struktur directory server):
grep "mailer.php" /home/usernamee/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort -n

9. Contoh hasil outputnya (hasil berbeda tergantung ip target) :
2 113.113.123.126
2 113.113.123.125
2 113.113.123.124
1260 113.113.123.123

10. Terlihat bahwa pada baris terakhir dari hasil pengecekan menggunakan resource cukup besar yang menjalankan script mailer tersebut. Untuk selanjutnya bisa kita blockir ip tersebut melalui firewall yang dipake pada server (misal csf firewall).

Selamat mencoba.

2 komentar: