الموضوع: شرح كيفية معرفة وتتبع مصدر سبام يحدث على الخادم الخاص بك
عرض مشاركة واحدة
احصائياتى

الردود
4

المشاهدات
1800
الصورة الرمزية هيلبرنت
هيلبرنت
.:: رفيق درب ::.
  • هيلبرنت has a brilliant futureهيلبرنت has a brilliant futureهيلبرنت has a brilliant futureهيلبرنت has a brilliant futureهيلبرنت has a brilliant futureهيلبرنت has a brilliant futureهيلبرنت has a brilliant futureهيلبرنت has a brilliant futureهيلبرنت has a brilliant futureهيلبرنت has a brilliant futureهيلبرنت has a brilliant future

  • هيلبرنت غير متواجد حالياً

المشاركات
11,551

+التقييم
321

تاريخ التسجيل
Jul 2015

الاقامة
فى الدنيا

نظام التشغيل
windows 8

رقم العضوية
18
12-15-2015, 11:47 PM
المشاركة 1
12-15-2015, 11:47 PM
المشاركة 1
افتراضي شرح كيفية معرفة وتتبع مصدر سبام يحدث على الخادم الخاص بك
لينا فترة متقابلناش هنا, بس ان شاء الله نكون متواجدين بصفة مستمرة او متقاربة على الأقل (:

النهاردة نتكلم عن نقطة مهمة لأنها مزعجة وبتسبب قلق مستمر واستهلاك لخط الإتصال باستمرار مع استهلاك مساحة من الهارد كذلك, وهى ال (سبام) ,, والتطبيق هايكون على Exim ( المستخدم من cPanel )

مبدئياً نعرف عدد الرسائل المخزنة للإرسال ازاى ؟؟


كود:
 		 			 exim -bpc


زى مافى الصورة الرقم 4455 هو عدد الرسائل المخزنة , طبعا الرقم بيختلف على حسب الحالة الموجودة

نقوم بتنفيذ الأمر السابق لكن بدون c ليكون :


كود:
 		 			 exim -bp

دا هايقوم بسرد الرسائل المخزنة كلها , نركز فى إختيار الخطوات القادمة . نقوم بنسخ ال ID الخاص بكل رسالة كما بالصورة التالية :




** أى تفاصيل هاتحتاجها فى تتبع الرسائل هاتكون موجودة فى الهيدر الخاص بكل رسالة

الخطوة التالية هى قراءة الهيدر الخاص بالرسالة اللى اخترنا ID الخاص بها كالتالى :


كود:
 		 			 exim -Mvh  1a4KoJ-003FSY-Vw

طبعا 1a4KoJ-003FSY-Vw هو ال ID الخاص بالرسالة والذى قمنا بنسخه كما بالصورة واضفناه بعد استخدام الأمر exim -Mvh

الناتج هايكون كبير لكن احتياجنا فيه هايكون للسطر auth_id- هايكون بعده الميل المخترق والذى يتم استخدامه فى سبام


دلوقتى عرفنا الميل الموجود على السيرفر المتسبب فى الإرسال وكما بالصورة info@mxxxxxxx هايكون دومين الموقع الموجود على السيرفر .

الحل هو حذف الميل وليس تغيير الباسورد ( طبعا بعد اشعار العميل بضرورة سحب الرسائل المهمة خارجياً قبل حذف الميل )

---------------------------------------------

الجزء السابق خاص بسبام متعلق بايميل مخترق لموقع موجود على السيرفر لكن يوجد أنواع اخرى زى اضافات ووردبريس او سكربتات ميلر تعمل بناءا على الدالة mail() ويمكن التحديد عن طريق الأمر


كود:
 		 			 grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

النتيجة هنا لا تكون دقيقة لأن الناتج يأتى مما هو مخزن داخل var/spool وقد يكون قبل واقعة السبام ولكن يعطى المساربدقة ويمكنك الفحص من هذه النقطة

هايعرض لك مسارات وبجوارها رقم الرسائل المخزن منها ,, لو كان السبام عن طريق الملف ستجد المسار كاملاً ويمكنك ايقاف الملف باعطائه تصريح 000 او حذفه


كود:
chmod 000 /xx/xxx/xx/xx/spamfile; chattr +i /xx/xxx/xx/xx/spamfile

كده احنا اوقفنا عمل الملف مع اضافة خيار عدم تغيير التصريح الا بواسطة اليوزر مع اخطار العميل بحذف الاضافة او السكربت اللى مركبه.
------------------------------------------

فى جزئية أخيرة وهى ان ممكن عدد الرسائل مش سبام على الاطلاق ولكن هى رسائل من الرووت الى الرووت , ودى غالباً بتكون من خدمات انت مركبها على السيرفر وبترسل تنبيهات او تقارير للرووت وممكن يكون فى مشكلة فى خدمة والرسائل كثيرة فبيتم تخزينها , وده طبعا بيظهر مع تانى خطوة نفذناها بالجزء الأول بحيث يظهر ايميل المرسل والمرسل اليه.

هنا المفروض يتم قراءة بعض الرسائل لمعرفة المصدر والانتباه لو فى مشكلة ايضاً

كود:
 		 			 exim -Mvb 1a41gm-0047wg-EV

طبعا ال ID بيختلف وهنا بنقدر نقرأ الرسالة ونفهم هى من اى خدمة وايه المحتوى .


* نوصل لخطوة الحذف :

- لو هانحذف رسائل الرووت فقط


كود:
 		 			 exiqgrep -i if root | xargs exim -Mrm

- لو نريد حذف الرسائل المجمدة ( frozen)


كود:
exim -bp | exiqgrep -i -z | xargs exim -Mrm

- لحذف الرسائل المنتظره كلها.


كود:
 			 exim -bp | exiqgrep -i | xargs exim -Mrm