GNU/Linux >> Tutoriels Linux >  >> Linux

Comment arrêter un serveur de spam

Protéger votre serveur contre le spam

Le spam est un problème sérieux pour votre entreprise et peut peser sur votre temps et vos ressources pour le résoudre. La meilleure façon de résoudre ce problème, bien sûr, est de ne jamais l'avoir en premier lieu. La première façon d'aider à prévenir le spam est de s'assurer que tous les CMS (comme WordPress, Joomla et Drupal), y compris les thèmes et les plugins, sont à jour sur votre serveur VPS ou votre serveur dédié. Cela peut sembler trop simple, mais il y a d'innombrables fois où un plugin obsolète permet aux pirates de détruire un domaine par ailleurs sécurisé.

Une autre façon de vous protéger contre le spam consiste à appliquer des mots de passe forts soit en demandant manuellement soit en définissant une configuration qui oblige les utilisateurs à avoir une lettre majuscule et minuscule, un symbole et un chiffre dans leur mot de passe. Dans WHM, vous pouvez forcer la force du mot de passe dans Centre de sécurité>> Configuration de la force du mot de passe . Ici, vous pouvez exiger que les utilisateurs aient au moins une certaine force pour tous leurs mots de passe cPanel.

Si vous êtes un client de Liquid Web, vous voudrez peut-être envisager nos packages de protection de serveur.

Traquer qui spamme

Mais disons que le pire est déjà arrivé. Comment procédez-vous pour savoir qui spamme et comment le spam est envoyé ?

Le premier outil dont vous disposez se trouve dans WHM sous Email>> Mail Queue Manager .

Mail Queue Manager vous permet de voir la file d'attente des e-mails et de discerner quels e-mails sont envoyés. Vous serez tenté de supprimer immédiatement tous les e-mails de spam, mais attendez. Tout d'abord, vous voulez savoir qui l'envoie et quel type de spam se produit :un mot de passe compromis ou un script de spam. Bien qu'il existe d'autres moyens de spammer, ce sont les deux principales méthodes que nous voyons concernant les serveurs de spam.

Pour commencer, vous devez vérifier d'où proviennent les e-mails via le gestionnaire de file d'attente de messagerie. Vous voudrez sélectionner une petite période récente pour examiner les e-mails qui ont été envoyés. Une fois que vous avez ces résultats, vous voudrez regarder le sujet de l'e-mail. Demandez-vous :

  • Cela ressemble-t-il à du spam ?
  • À qui est-il envoyé ?
  • Connaissez-vous le destinataire ?

Une fois que vous avez vérifié que l'e-mail est un spam, vous voudrez regarder les en-têtes de l'e-mail. Bien que les en-têtes puissent sembler déroutants, nous sommes ici pour décomposer les parties importantes :

Voici un exemple d'en-tête de ce à quoi peut ressembler un e-mail de spam :

1g8rz7-1001y8-3K-H
username  609 500
<[email protected]>
1538853089 2
-received_time_usec .072187
-ident username
-received_protocol local
-body_linecount 241
-max_received_linelength 499
-auth_id username
-auth_sender [email protected] 
-allow_unqualified_recipient
-allow_unqualified_sender
-local
XX
1
[email protected]

209P Received: from username by domain.com with local (Exim 4.91)
    (envelope-from <[email protected]>)
    id 1g8rz7-0001y8-2K
    for [email protected]; Sat, 06 Oct 2018 15:11:29 -0400
030T To: [email protected]
033  Subject: NEW SUBJECT
058  X-PHP-Script: domain.com/index.php for xxx.xxx.xxx.xxx
050  X-PHP-Originating-Script: 609:class-phpmailer.php
037  Date: Sat, 6 Oct 2018 10:11:23 +0000
041F From: username <[email protected]>
035R Reply-To: [email protected]
063I Message-ID: <[email protected]>
068  X-Mailer: PHPMailer 5.2.22 (https://github.com/PHPMailer/PHPMailer)
018  MIME-Version: 1.0
039  Content-Type: text/html; charset=UTF-8

Les parties importantes sont surlignées en bleu :

-auth_id username
-auth_sender [email protected]

et

058  X-PHP-Script: domain.com/index.php for xxx.xxx.xxx.xxx
050  X-PHP-Originating-Script: 609:class-phpmailer.php

Un compte de messagerie compromis

Les deux premières lignes en surbrillance indiquent qu'il a été envoyé via un expéditeur authentifié "nom d'[email protected]". Si auth_sender était vide, vous passeriez à la section suivante Script Spamming . S'il est rempli, vous voudrez changer le mot de passe de ce compte de messagerie. Ils doivent également exécuter des analyses de logiciels malveillants locaux sur tout appareil ayant accès au compte de messagerie, car ils peuvent avoir des logiciels malveillants sur leur ordinateur qui ont volé le mot de passe. Une fois cette opération terminée, vous pouvez passer à la section suivante intitulée Effacer les spams dans la file d'attente .

Spam de script

Les lignes ci-dessous indiquent le domaine de l'expéditeur et qu'un script (class-phpmailer.php ) a généré l'e-mail.

058  X-PHP-Script: domain.com/index.php for xxx.xxx.xxx.xxx
050  X-PHP-Originating-Script: 609:class-phpmailer.php

À partir de ce moment, vous voudrez trouver le script en recherchant le nom de fichier dans la racine du document du domaine.

Tout d'abord, vous devrez vous connecter en SSH au serveur en tant que root.

Pour trouver le fichier, vous exécuterez la commande suivante en remplaçant "phpmailer.php " avec le nom du script que vous avez trouvé et ajoutez la racine du document pour le domaine (généralement sous /home/{username}/public_html ).

find /doc/root/for/the/domain -name “phpmailer.php” -type f

Une fois que vous avez localisé l'emplacement du fichier malveillant, vous voudrez le désactiver ou le supprimer. Pour désactiver le fichier, vous exécuterez la commande suivante.

Important :Cela peut interrompre la fonctionnalité du site Web, mais cela arrêtera le spam et il est important que vous le fassiez pour éviter que votre adresse IP ne soit mise sur liste noire.

chmod 000 /name/of/file/to/be/disabled

Vous voudrez également vérifier les logiciels malveillants supplémentaires sur le compte. L'un des meilleurs outils pour ce faire est Maldet. Voici le lien pour revoir Comment configurer le scanner Maldet.

Une fois que vous avez installé le logiciel et l'avez correctement configuré, vous souhaiterez exécuter une analyse manuelle d'un répertoire. Pour ce faire, vous vous connectez en SSH au serveur et exécutez la commande suivante, après l'avoir modifiée pour afficher la racine réelle du document du domaine (généralement sous /home/{username}/public_html ).

maldet -b -a /document/root/for/the/domain

Après avoir fait cela, vous pouvez vérifier la progression de l'analyse en exécutant la commande suivante

tail /usr/local/maldetect/event_log

Une fois terminé, vous pouvez afficher le rapport en exécutant ce qui suit en remplaçant les x par le numéro du rapport :

maldet --report xxxxx-xxxxx.xxxx

À partir de là, vous pouvez désactiver les fichiers individuellement comme vous l'avez fait auparavant :

chmod 000 /name/of/file/to/be/disabled

Effacer les spams de la file d'attente

Après avoir arrêté le spam en modifiant le mot de passe du compte ou en désactivant le script de spam, vous souhaiterez effacer la file d'attente. La première chose à faire est d'effacer les spams. Vous voudrez utiliser la commande suivante pour effacer les e-mails potentiellement indésirables en remplaçant {email_address} avec l'adresse e-mail qui envoyait du spam ou le domaine qui envoyait les e-mails de spam.

Important :cette opération supprimera tous les e-mails liés à l'adresse e-mail ou au domaine.

grep -R --include='*-H' 'auth_id' /var/spool/exim/input | grep {email_address} | cut -d: -f1 | cut -d/ -f7 | cut -d- -f1-3 | xargs -n 1 exim -Mrm

Une fois terminé, vous voudrez effacer tous les e-mails qui ont rebondi sur le serveur, avec la commande suivante.

exim -bpr | grep '<>' | awk '{print $3}' | xargs -I % exim -Mrm %

Enfin, continuez à surveiller le serveur pour vous assurer qu'il n'y avait pas deux sources de spam, mais au-delà de cela, vous avez réussi à empêcher le serveur de spammer.


Linux

  1. Comment démarrer, arrêter ou redémarrer le serveur Apache sur Ubuntu

  2. Comment configurer le serveur DNS sur CentOS 5 / RHEL 5

  3. Comment Ssh vers un serveur en utilisant un autre serveur ? ?

  4. Comment installer le serveur KDC Kerberos 5 sur Linux pour l'authentification

  5. Comment arrêter le service systemd

Comment mettre à niveau Ubuntu Server vers 20.04 à partir de 18.04

Comment déployer un serveur TeamSpeak sur Ubuntu 20.04

Comment installer OpenLDAP sur Ubuntu Server 22.04

Comment installer Lighttpd sur le serveur Ubuntu

Comment installer le serveur FTP sur Ubuntu ?

Comment restaurer un serveur cloud