شناسایی اسپم و یافتن اسکریپت های ارسال اسپم در سرور Exim mail server
|
۱۴-۱-۱۳۹۳, ۰۸:۵۰ عصر
(آخرین ویرایش در این ارسال: ۱۵-۱-۱۳۹۳ ۰۸:۵۲ عصر، توسط Reza Ganji.)
ارسال: #1
|
|||
|
|||
شناسایی اسپم و یافتن اسکریپت های ارسال اسپم در سرور Exim mail server
درود
یکی از مشکلاتی که گریبان گیر سرورهای هاستینگ هست ارسال اسپم از طریق برخی سایتها هست که نفوذگر با نفوذ به سایت ها و آپلود اسکریپت اسپمر خود تعداد بسیار بالایی اسپم ارسال میکند که باعث رفتن ای پی سرور در بلک لیست میشود. از طریق ssh لاگین کنید و دستور زیر را اجرا کنید : ssh root@IP then run the following commands کد: (انتخاب همه) exim -bpc این دستور ایمیل های موجود در صف ارسال را برای شما نمایش میدهد.اگر تعداد آنها زیاد بود مثلا 2000 تا مطمئن باشید سرور شما درحال اسپم هست.نتیجه دستور بالا را بصورت زیر مشاهده خواهید کرد : کد: (انتخاب همه) root@server [~]# exim -bpc خوب اگر مطمئن شدید سرور درحال ارسال اسپم هست مراحل زیر را دنبال کنید. دستور زیر را اجرا کنید : کد: (انتخاب همه) exim -bp دستور فوق نگاه نزدیکی داره به ایمیل های موجود در صف ارسال از جمله فرستنده و گیرنده شناسه یا همون ای دی ایمیل و مدت زمان انتظار در صف یا به عبارتی سن ایمیل . از این جزئیات مهمترینشون ID یا همون شناسه ایمیل هست که میتوانیم توسط اون اطلاعات کاملی راجب به ایمیل مورد نظر بدست بیاریم و در موردش بحث میکنیم. نتیجه اجرا دستور بالا شبیه زیر در پوتی برای شما نمایش داده خواهد شد : کد: (انتخاب همه) [root@EcLinux]# exim -bp در مثال بالا sender@sender.com فرستنده می باشد و recipient@gmail.com گیرنده ایمیل و در خط اول 44h یعنی این ایمل 44 ساعت سن داره و در صف هست و بعد از سن ایمیل سایز ایمیل نوشته شده مثلا در خط اول 763 منظور اینه این ایمیل 763 کیلوبایت حجم داره و از همه مهمتر ID ایمیل هست که بعد از حجم ایمیل نوشته شده در خط اول 1VGaIo-0002ec-RM آی دی ایمیل هست. به ترتیب نمایش در پوتی اگر بخواهیم نام ببریم به ترتیب زیر میشود : کد: (انتخاب همه) 1st field: Age جلوی برخی شما *** frozen *** را مشاهده میکنید که اینها ایمیل های نامعتبر هستند که به گیرنده های غیرمعتبر ارسال شده اند و به صف اضافه میشوند و EXIM چندبار سعی در ارسال میکنه که شما این رو در تنظیمات EXIM تعیین کرده اید و بعد از گذشت مدت انقضا مثلا هشت روز اینگونه نمایش داده میشوند که روش حذفشون رو بعدا در یک تاپیک توضیح خواهیم داد. خوب با استفاده از ID ایمیل ما میتونیم header و body و log ایمیل رو مشاهده کنیم . برای مشاهده header دستور زیر را استفاده میکنیم : نکته مهم : در هیدر ایمیل شما میتوانید مسیر اسکریپت ارسال کننده ایمیل را مشاهده کنید و آن را بررسی و حذف کنید!!! کد: (انتخاب همه) exim -Mvh ID بجای ID شما ID ایمیل را قرار دهید مانند زیر : کد: (انتخاب همه) exim -Mvh 1WVbmo-0036hY-Po برای مشاهده body یا متن ایمیل دستور زیر را استفاده میکنیم : کد: (انتخاب همه) exim -Mvb ID البته متن ایمیل در پوتی به زبان فارسی درست نمایش داده نمیشه ولی خوب اگر اسپم باشه حتما انگلیسی هست و میتونید متوجه بشوید چی میفرسته. برای مشاهده لاگ ایمیل هم دستور زیر را استفاده کنید : کد: (انتخاب همه) exim -Mvl ID دستور زیر هم برای مشاهده لیست کاربران درحال ارسال ایمیل و تعداد آنها استفاده میشود : کد: (انتخاب همه) exim -bpr|grep "<"|awk {'print $4'}|cut -d"<" -f2|cut -d">" -f1|sort -n|uniq -c|sort -n برای مشاهده تعداد ایمیل های ارسالی یک کاربر خاص میتونید از دستور زیر استفاده کنید : کد: (انتخاب همه) exiqgrep -f sendername|grep "<"|wc -l مثال : بجای sendername فرستنده را وارد کنید مانند زیر : کد: (انتخاب همه) exiqgrep -f rezaganji55@yahoo.com|grep "<"|wc -l یا : کد: (انتخاب همه) exiqgrep -f reza@server.parsjoom.us|grep "<"|wc -l ایمیل فرستنده رو قبلا با دستورات بالا مشاهده کرده بودید ! و در دو مثال بالا استفاده میکنید ! جهت مشاهده تعداد ایمیل های دریافتی کاربر هم از دستور زیر استفاده کنید : کد: (انتخاب همه) exiqgrep -f recipient|grep “<”|wc -l برای حذف تمامی ایمیل های در صف ارسال یک فرستنده یا کاربر خاص از دستور زیر استفاده کنید : کد: (انتخاب همه) exim -bpr| grep sendername| awk '{print $3}'|xargs exim -Mrm بجای sendername فرستنده را استفاده کنید . برای مشاهده لیست ایمیل های منقضی شده و راکد یا همان frozen از دستور زیر استفاده کنید : کد: (انتخاب همه) exim -bp|grep frozen|wc -l برای مشاهده ID های ایمیل های منقضی شده از دستور زیر استفاده کنید : کد: (انتخاب همه) exim -bp|grep frozen|awk {'print $3'} برای حذف تمامی ایمیل های منقضی شده یا frozen از دستور زیر استفاده کنید : کد: (انتخاب همه) exim -bp|grep frozen|awk {'print $3'}|xargs exim -Mrm برای مشاهده خلاصه گزارش ایمیل های موجود در صف ارسال از دستور زیر استفاده کنید : کد: (انتخاب همه) exim -bp|exiqsumm خروجی مانند زیر نمایش داده میشود : کد: (انتخاب همه) [root@EcLinux]# exim -bp|exiqsumm جهت مشاهده وضعیت exim و اینکه درحال چه کاری است میتونید از دستور زیر استفاده کنید : کد: (انتخاب همه) exiwhat برای حذف یک ایمیل موجود در صف ارسال از دستور زیر استفاده کنید : کد: (انتخاب همه) exim -Mrm mailID در آخر برای حذف تمامی ایمیل های موجود در صف ارسال از دستور زیر استفاده کنید : کد: (انتخاب همه) exim -bp | awk '/^ *[0-9]+[mhd]/{print "exim -Mrm " $3}' | bash در آخر عرض کنم شما با مشاهده بادی و هدر ایمیل میتونید مسیر اسکریپت ارسال کننده ایمیل را مشاهده کنید و به مسیر مورد نظر رفته و اسکریپت موردنظر را حذف کنید. البته سایت کانفینگ سرور دو پلاگین داره به نام های ConfigServer Mail Queues و ConfigServer Mail Manage که میتونید همین بررسی و کارهارو به وسیله اونها هم انجام بدید و اسکریپت ارسال اسپم رو پیدا کنید و محدودیت ارسال ایمیل برای کاربرهایی که اسپم ارسال میکنند در نظر بگیرید. برای حذف و کارهای سریع از طریق ssh شما راحت تر خواهید بود و میتونید از دستورات بالا استفاده کنید. موفق و پیروز باشید ! |
|||
|
|
پیامهای داخل این موضوع |
شناسایی اسپم و یافتن اسکریپت های ارسال اسپم در سرور Exim mail server - Reza Ganji - ۱۴-۱-۱۳۹۳ ۰۸:۵۰ عصر
|
کاربرانِ درحال بازدید از این موضوع: 1 مهمان