Cpanel sunucularda spam mail göndereni bulmak

Merhaba arkadaşlar bu siteyi güzel bir site yapmayı çok istedim, çok güzel içerikler oluşturmak istedim sizlere ancak her zamanki gibi diğer işlerimin yoğunluğundan bu canım siteme vakit ayıramadım 🙁 Yılda 1 makale yazma geleneğimi devam ettiriyorum ve bu makalemde sizlere fazla site host eden cpanel kullanıcılarının büyük sorunlarından biri olan spam mail saldırılarını ele alacağım.

Öncelikle sizlere tavsiyem cpanel optimizasyon erbabı olan configserver firmasının yazılımlarını kullanmanız olacaktır, konu ile alakalı olan iki eklentiyi aşağıda neler yapabileceğiniz ile birlikte yazıyorum;

1 – ) ConfigServer Mail Queues: ile centos cpanel hosting sunucunuzda spam saldırısı sonucu oluşan mail bekleme listelerini inceleyebilir, maillerin içeriğini görebilirsiniz. Cpanel’in Mail Queue plugininin gelişmiş halidir. Ayrıca hosting üzerinde php tabanlı yapılan saldırılarda büyük bir kısmında mail içeriğini kontrol ettiğinizde hangi dizinde hangi dosyadan mail gönderilmiş görebiliyorsunuz.

Örneğin; /home/ftpuser/public_html/wp-content/themes/hacklenmistema/mailbomber.php gibi bir yol görebilirsiniz veya hangi kullanıcı tarafından gönderildiğide yazabiliyor bazen x auth : ftpuser şeklinde idi yanlış hatırlamıyorsam. (Bu makaleyi yazmayı çok önceden düşünmüştüm ozamanlar elimde mevcut kurulu yazılımlar ve bolca spam sorunlu cpanel sunucu mevcuttu ancak şuanda bunlar olmadığı için tam net bilgiler veremiyorum) Mail içeriğini ve header bilgilerini incelediğinizde büyük oranla sorununuzu çözecektir, eğer sorununuz çözülmedi ise configserver eklentilerinden sonra ssh üzerinden manual yöntemler anlatacağım onlara bakınız.

2 – )ConfigServer Mail Manage : Büyük bir hosting sunucusu yönetiyorsanız (ben 2.5 k aktif hesaplı bir sunucu yönetiyordum) bu eklenti çok işinize yarayacaktır, geçmişte spam yapmış ve hesapların ana mailleri ([email protected] hosting acıldığı anda açılmaktadır otomatik) gönderilen spamların error mailleri ile dolu olur ve aşırı disk tüketimi yapmaktadır ben 200 gb civarı bir disk alanını boşa çıkarmıştım bu eklenti sayesinde, aynı zamanda müşterilerin mail kullanımları ve büyük disk tüketenleri yani bir nevi spam yapanları bu sayede de bulmuş olabiliyorsunuz.

Bu iki eklenti işinizi çözmediyse arkadaşlar yapabileceğiniz bir iki şey daha bulunmaktadır.

3 – ) Sunucumuza SSH üzerinden login oluyoruz ve top -c komutu ile sunucumuzda neler kasıyor bir göz atıyoruz. Eğer bu işlemi yaptığınızda hosting hesabı üzerinden aktif mail çıkışı oluyor ise muhtemelen saldırı yapılan dosya en üstlerde çıkacaktır listede;

includes/spammer.php gibi bir ibare olabilir veya yabancı bir php dosyası olabilir gördüğünüz bunu bulup siliniz veya ilgili hesabı tamamen suspend etmeniz faydalı olacaktır. Çünki bu site %90 ihtimalle güncellemeleri yapılmamış eski versiyon bir wordpress veya joomla‘dır ve hacklenmiştir tamamiyle.

Bu dosyayı bulamadığımızı farz ediyoruz ve top -c ekranımızda mail çıkışı olup olmadığını anlamamız için sıkça mailnull istemcisi geliyormu listemize ona bakmalıyız, eğer mailnul /usr/sbin/sendmail -t şeklinde kullanımlar görüyor ve dosyayı bulamıyorsanız iyi bir spammerle karşı karşıyasınızdır. Bir çeşit cpanel açığı olduğunu düşündüğüm site üzerinde olmayan kullanıcı hesapları ile mail yolluyorlardır rast gele, örneğin; [email protected] gibi mailler.
Bunları bulmak için ise aşağıdaki adımları kullanmayı deneyebiliriz;
tail -f /var/log/exim_mainlog

Komutu ile sunucudan cıkan tüm mail trafiğini tersten okuyabiliyoruz , tail -f komutu sondan dogru okumak için kullanılır cat komutunun aksine. Bu komut ile çok fazla mail trafiği ile karşılaşıp eğer spamcıya ulaşamıyorsanız, komutumuza grep home diyerek home dizini üzerinden çıkan mailleri incelemeye alabiliriz.
tail -f /var/log/exim_mainlog | grep home

Bu komut ile işleriniz biraz daha kolay olacaktır, buradan çıkan logları inceleyerek ilgili hesabı suspend edebilirsiniz.
Bunların dışında bir basit komut daha verebiliriz logları incelemeniz için oda şudur ;

ps -C exim -fH eww | grep home

Eğer spam saldırısı sorununuza yardımda bulunduysam yorum yaparak bir teşekkür edebilir veya yaşadığınız diğer sorunlar hakkında bilgi isteyebilirsiniz.
Saygılar F.Cebeci
Kaynak göstermeden lütfen paylaşmayınız.

Yazar: admin

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir