هيلبرنت
12-15-2015, 11:47 PM
لينا فترة متقابلناش هنا, بس ان شاء الله نكون متواجدين بصفة مستمرة او متقاربة على الأقل (:
النهاردة نتكلم عن نقطة مهمة لأنها مزعجة وبتسبب قلق مستمر واستهلاك لخط الإتصال باستمرار مع استهلاك مساحة من الهارد كذلك, وهى ال (سبام) ,, والتطبيق هايكون على Exim ( المستخدم من cPanel )
مبدئياً نعرف عدد الرسائل المخزنة للإرسال ازاى ؟؟
exim -bpc
http://www.traidnt.net/vb/images/imgcache/2015/12/Screenshot_from_2015_12_03_23_16_02-22269961-1.png
زى مافى الصورة الرقم 4455 هو عدد الرسائل المخزنة , طبعا الرقم بيختلف على حسب الحالة الموجودة
نقوم بتنفيذ الأمر السابق لكن بدون c ليكون :
exim -bp
دا هايقوم بسرد الرسائل المخزنة كلها , نركز فى إختيار الخطوات القادمة . نقوم بنسخ ال ID الخاص بكل رسالة كما بالصورة التالية :
http://www.traidnt.net/vb/images/imgcache/2015/12/Screenshot_from_2015_12_03_23_41_28-22269961-1.png
** أى تفاصيل هاتحتاجها فى تتبع الرسائل هاتكون موجودة فى الهيدر الخاص بكل رسالة
الخطوة التالية هى قراءة الهيدر الخاص بالرسالة اللى اخترنا ID الخاص بها كالتالى :
exim -Mvh 1a4KoJ-003FSY-Vw
طبعا 1a4KoJ-003FSY-Vw هو ال ID الخاص بالرسالة والذى قمنا بنسخه كما بالصورة واضفناه بعد استخدام الأمر exim -Mvh
الناتج هايكون كبير لكن احتياجنا فيه هايكون للسطر auth_id- هايكون بعده الميل المخترق والذى يتم استخدامه فى سبام
http://www.traidnt.net/vb/images/imgcache/2015/12/Screenshot_from_2015_12_03_23_46_09-22269961-1.png
دلوقتى عرفنا الميل الموجود على السيرفر المتسبب فى الإرسال وكما بالصورة info@mxxxxxxx هايكون دومين الموقع الموجود على السيرفر .
الحل هو حذف الميل وليس تغيير الباسورد ( طبعا بعد اشعار العميل بضرورة سحب الرسائل المهمة خارجياً قبل حذف الميل )
---------------------------------------------
الجزء السابق خاص بسبام متعلق بايميل مخترق لموقع موجود على السيرفر لكن يوجد أنواع اخرى زى اضافات ووردبريس او سكربتات ميلر تعمل بناءا على الدالة mail() ويمكن التحديد عن طريق الأمر
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
النتيجة هنا لا تكون دقيقة لأن الناتج يأتى مما هو مخزن داخل var/spool وقد يكون قبل واقعة السبام ولكن يعطى المساربدقة ويمكنك الفحص من هذه النقطة
هايعرض لك مسارات وبجوارها رقم الرسائل المخزن منها ,, لو كان السبام عن طريق الملف ستجد المسار كاملاً ويمكنك ايقاف الملف باعطائه تصريح 000 او حذفه
chmod 000 /xx/xxx/xx/xx/spamfile; chattr +i /xx/xxx/xx/xx/spamfile
كده احنا اوقفنا عمل الملف مع اضافة خيار عدم تغيير التصريح الا بواسطة اليوزر مع اخطار العميل بحذف الاضافة او السكربت اللى مركبه.
------------------------------------------
فى جزئية أخيرة وهى ان ممكن عدد الرسائل مش سبام على الاطلاق ولكن هى رسائل من الرووت الى الرووت , ودى غالباً بتكون من خدمات انت مركبها على السيرفر وبترسل تنبيهات او تقارير للرووت وممكن يكون فى مشكلة فى خدمة والرسائل كثيرة فبيتم تخزينها , وده طبعا بيظهر مع تانى خطوة نفذناها بالجزء الأول بحيث يظهر ايميل المرسل والمرسل اليه.
هنا المفروض يتم قراءة بعض الرسائل لمعرفة المصدر والانتباه لو فى مشكلة ايضاً
exim -Mvb 1a41gm-0047wg-EV
طبعا ال ID بيختلف وهنا بنقدر نقرأ الرسالة ونفهم هى من اى خدمة وايه المحتوى .
* نوصل لخطوة الحذف :
- لو هانحذف رسائل الرووت فقط
exiqgrep -i if root | xargs exim -Mrm
- لو نريد حذف الرسائل المجمدة ( frozen)
exim -bp | exiqgrep -i -z | xargs exim -Mrm
- لحذف الرسائل المنتظره كلها.
exim -bp | exiqgrep -i | xargs exim -Mrm
النهاردة نتكلم عن نقطة مهمة لأنها مزعجة وبتسبب قلق مستمر واستهلاك لخط الإتصال باستمرار مع استهلاك مساحة من الهارد كذلك, وهى ال (سبام) ,, والتطبيق هايكون على Exim ( المستخدم من cPanel )
مبدئياً نعرف عدد الرسائل المخزنة للإرسال ازاى ؟؟
exim -bpc
http://www.traidnt.net/vb/images/imgcache/2015/12/Screenshot_from_2015_12_03_23_16_02-22269961-1.png
زى مافى الصورة الرقم 4455 هو عدد الرسائل المخزنة , طبعا الرقم بيختلف على حسب الحالة الموجودة
نقوم بتنفيذ الأمر السابق لكن بدون c ليكون :
exim -bp
دا هايقوم بسرد الرسائل المخزنة كلها , نركز فى إختيار الخطوات القادمة . نقوم بنسخ ال ID الخاص بكل رسالة كما بالصورة التالية :
http://www.traidnt.net/vb/images/imgcache/2015/12/Screenshot_from_2015_12_03_23_41_28-22269961-1.png
** أى تفاصيل هاتحتاجها فى تتبع الرسائل هاتكون موجودة فى الهيدر الخاص بكل رسالة
الخطوة التالية هى قراءة الهيدر الخاص بالرسالة اللى اخترنا ID الخاص بها كالتالى :
exim -Mvh 1a4KoJ-003FSY-Vw
طبعا 1a4KoJ-003FSY-Vw هو ال ID الخاص بالرسالة والذى قمنا بنسخه كما بالصورة واضفناه بعد استخدام الأمر exim -Mvh
الناتج هايكون كبير لكن احتياجنا فيه هايكون للسطر auth_id- هايكون بعده الميل المخترق والذى يتم استخدامه فى سبام
http://www.traidnt.net/vb/images/imgcache/2015/12/Screenshot_from_2015_12_03_23_46_09-22269961-1.png
دلوقتى عرفنا الميل الموجود على السيرفر المتسبب فى الإرسال وكما بالصورة info@mxxxxxxx هايكون دومين الموقع الموجود على السيرفر .
الحل هو حذف الميل وليس تغيير الباسورد ( طبعا بعد اشعار العميل بضرورة سحب الرسائل المهمة خارجياً قبل حذف الميل )
---------------------------------------------
الجزء السابق خاص بسبام متعلق بايميل مخترق لموقع موجود على السيرفر لكن يوجد أنواع اخرى زى اضافات ووردبريس او سكربتات ميلر تعمل بناءا على الدالة mail() ويمكن التحديد عن طريق الأمر
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
النتيجة هنا لا تكون دقيقة لأن الناتج يأتى مما هو مخزن داخل var/spool وقد يكون قبل واقعة السبام ولكن يعطى المساربدقة ويمكنك الفحص من هذه النقطة
هايعرض لك مسارات وبجوارها رقم الرسائل المخزن منها ,, لو كان السبام عن طريق الملف ستجد المسار كاملاً ويمكنك ايقاف الملف باعطائه تصريح 000 او حذفه
chmod 000 /xx/xxx/xx/xx/spamfile; chattr +i /xx/xxx/xx/xx/spamfile
كده احنا اوقفنا عمل الملف مع اضافة خيار عدم تغيير التصريح الا بواسطة اليوزر مع اخطار العميل بحذف الاضافة او السكربت اللى مركبه.
------------------------------------------
فى جزئية أخيرة وهى ان ممكن عدد الرسائل مش سبام على الاطلاق ولكن هى رسائل من الرووت الى الرووت , ودى غالباً بتكون من خدمات انت مركبها على السيرفر وبترسل تنبيهات او تقارير للرووت وممكن يكون فى مشكلة فى خدمة والرسائل كثيرة فبيتم تخزينها , وده طبعا بيظهر مع تانى خطوة نفذناها بالجزء الأول بحيث يظهر ايميل المرسل والمرسل اليه.
هنا المفروض يتم قراءة بعض الرسائل لمعرفة المصدر والانتباه لو فى مشكلة ايضاً
exim -Mvb 1a41gm-0047wg-EV
طبعا ال ID بيختلف وهنا بنقدر نقرأ الرسالة ونفهم هى من اى خدمة وايه المحتوى .
* نوصل لخطوة الحذف :
- لو هانحذف رسائل الرووت فقط
exiqgrep -i if root | xargs exim -Mrm
- لو نريد حذف الرسائل المجمدة ( frozen)
exim -bp | exiqgrep -i -z | xargs exim -Mrm
- لحذف الرسائل المنتظره كلها.
exim -bp | exiqgrep -i | xargs exim -Mrm