شعار همیشگی: حفظ مشتریان فعلی ، دعوت از مشتریان قبلی ، جذب مشتریان آتی
شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم
شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم
با شما هستیم با شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم در خدمت شما خواهیم بود تا انتهای این مطلب ما را همراهی کنید. و یا با محیط آن آشنا گردید به مطالعه این مطللب بپردازید.
بکاپ منظم روزانه هفتگی ماهانه در یک سرور مجزا از مزیت نگارنوین نسبت به سایرین می باشد.
شرکت نگارنوین با همت بهترین کارشناس های قوی به شما کاربران و مشتریهای عزیز خدمت رسانی میکند تا هرچه آسان تر و بهتر به درخواست های خود برسید.
شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم در سرور چطور انجام می شود؟
مشکل ارسال اسپم و هرزنامه برای همه کاربران اینترنتی بارها رخ داده است و علیرغم وجود راه های مختلف خیلی بعید است که تا کنون از دست این مشکل کلافه نشده باشید. تصور برخی این است که این ایمیل ها توسط یک سری اشخاص در پشت رایانه هایشان ارسال می شوند. در صورتی که اسپمر ها از ایمیل سرور و یا حساب هک شده ایمیل و حفره های امنیتی سایت های دیگران اقدام به ارسال اسپم می کنند. مدیران سرور اغلب نظارتی بر این مورد ندارند و هرگاه IP آنها در blacklist ها ثبت شده از ماجرا با خبر می شوند.
ارسال اسپم در سرور چه علائمی دارد:
- کندی سرعت و مصرف بیشتر منابع توسط mail server
- عدم دریافت ایمیل ها در مقصد
- قرار گرفتن آیپی سرور در بلک لیست ( blacklist )
- اشغال فضای سرور به دلیل برگشت ایمیل
- و تشکیل صف طولانی برای ارسال ایمیل در سرور
روش های رایج ارسال اسپم کدامند؟
- SMTP
- استفاده از پروتکل mailسایتهای هک شده
- برخی اسکریپت های perl دارای باگ بارگزاری شده در سرور
در روش SMTP اسپمرها به یکی از حسابهای کاربری معتبر تعریف شده برروی سرور دسترسی یافته و از طریق آن اقدام به ارسال ایمیل مینمایند.
روش smtp spam از طرق مختلفی مانند Broute Force کردن حساب کاربری یا به کمک انواع بد افزار ها برروی رایانه شخصی کاربر صورت می پذیرد.
استفاده از وبسایتهای هک شده یکی از متداول ترین روش ها در میان هکر ها میباشد.
در این حالت با استفاده از bot ها به صورت خودکار اقدام به اسکن وبسایتها برای یافتن حفره امنیتی رایج نموده ، پس از یافتن وبسایت با حفره امنیتی سریعا از طریق بارگزاری یک فایل حاوی کدهای مخرب و اجرای آن، از منابع سایت سوء استفاده میکنند.
همچنین ممکن است رایانه مدیر سایت نیز آلوده شده و هنگام بارگزاری مطالب و فایلهای سایت، کدهای مخرب نیز برروی سایت بارگزاری شده و اجرا گردند.
چطور به شناسایی اسپم بپردازیم؟
شناسایی اسپم کار نسبتا دشواری است که اگر سایت های زیادی در سرور میزبانی شوند٬ پیچیدگی شناسایی سایت های مخرب دوچندان می شود. در صورتی که از دایرکت ادمین استفاده می کنید بهترین کار این است که به بخش email accounts سپس صفحه ی email usage مراجعه کنید و به مرور اجمالی ایمیل های ارسالی بپردازید. موارد مشکوک کاملا مشخص هستند. همچنین سیستم پیام های دایرکت ادمین نیز گزارشی از ارسال های انبوه غیرمجاز به ثبت می رساند.
۱ | Warning: ۶۰۰ emails have just been sent by <username> |
یکی دیگر از قابلیت های دایرکت ادمین Mail Queue administration می باشد. البته در صورتی که صف ایمیل سنگینی ایجاد شده باشد ممکن است دایرکت ادمین نتواند این صفحه را بارگزاری کند. در صورتی که Mail Queue administration باز شد و مشاهده نمودید که تعداد زیادی ایمیل در صف ارسال قرار دارد و یا فرستنده و گیرنده آنها یکسان است بهتر است با کلیک بر روی Mail ID به بررسی آنها بپردازید.
در دایرکت ادمین بهترین کار این است که لاگ Exim را بررسی نمایید.
نحوه بررسی لاگ Exim :
شما می توانید پس از ورود به ترمینال لینوکس و مراجعه به مسیر زیر٬ لاگ اگزیم را مشاهده نمایید:
۱ | /var/log/exim |
اخرین بخش لاگها در فایلی به نام mainlog ذخیره میگردد.
با زدن دستور زیر تعداد ایمیل هایی که در صف قرار دارند قابل مشاهده خواهند بود:
۱ ۲ | [root@server]# exim -bpc ۱۰۶۹۷۱۳ |
شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم
با توجه به این خروجی٬ بیشتر از یک میلیون ایمیل در صف هستند. مشاهده کل این لاگ امکان پذیر نیست پس مجبور هستیم با دستور زیر ۱۰,۰۰۰ خط انتهایی mainlog را مشاهده کنیم.
۱ | [root@server]# tail -n 10000 mainlog | more |
شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم
البته دستور فوق دارای سوئیچ more می باشد تا بتوانید گزارش ها را بصورت صفحه بندی شده و مرتب مشاهده کنید. برای مراجعه به صفحات بعدی کافیست از space استفاده کنید.
خروجی زیر هم ممکن است در بین لاگ مشاهده شود:
۱ ۲ | ۲۰۱۳–۱۲–۲۸ ۲۳:۴۸:۲۷ 1Vx2g2–0001EU–Cq ** source@example.com F=<> R=lookuphost T=remote_smtp: SMTP error from remote mail server after RCPT TO:<source@example.com>;: host aspmx.l.google.com [۱۷۲.۲۸.۱۵.۲۷]: ۵۵۰–۵.۱.۱ The email account that you tried to reach does not exist. Please try\n550–۵.۱.۱ double–checking the recipient‘s email address for typos or\n550–۵.۱.۱ unnecessary spaces. Learn more at\n550 ۵.۱.۱ http://support.google.com/mail/bin/answer.py?answer=6596 l2si45202725een.62 – gsmtp ۲۰۱۳–۱۲–۲۸ ۲۳:۴۸:۲۷ 1Vx2g2–0001EU–Cq Frozen (delivery error message) |
در این پیغام همانطور که قابل مشاهده میباشد، با یک ایمیل بازگشت داده شده ( bounce e-mail ) روبرو هستیم. در حالت عادی وجود ایمیلهای بازگشت داده شده امری عادی می باشد، اما اگر با تعداد بسیاری زیادی از آن روبرو باشیم لازم است تا مبدا و مقصد ایمیل ها رو بررسی نمائید در صورتیکه از یک source address (حساب کاربری ارسال کننده ایمیل) که در این مثال source@example.com است تعداد زیاد مشابهی را ملاحظه می فرمائید می بایست حساب کاربری ایمیل را به عنوان یک حساب مشکوک یادداشت نمایید تا بعدا بیشتر آن را مورد بررسی قرار دهید.
مورد دیگری که ممکن است در لاگها مشاهده کنید به صورت زیر میباشد:
۱ | ۲۰۱۳–۱۲–۲۹ ۰۰:۰۰:۴۷ 1Vqqlt–0002LF–0d ** target@targetaddress.com F=<source@example.com>; R=lookuphost T=remote_smtp: SMTP error from remote mail server after initial connection: host smtp.secureserver.net [۱۷۲.۲۱.۱۰.۱۷]: ۵۵۴–m1pismtp01–۰۲۹.prod.mesa1.secureserver.net \n554 Your access to this mail system has been rejected due to the sending MTA‘s poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means. |
این پیغام نیز اعلام می دارد که IP سرور در مقصد بلاک شده است.
برخی موارد که در لاگ باید به دنبال آنها باشیم
مثال الف:
۱ ۲ | ۲۰۱۳–۱۲–۲۷ ۱۱:۳۴:۵۱ 1VwUkl–0006D4–Co <= dauser@example.com U=apache P=local S=۳۴۳۶ T=“R0L3x AND v14rga” from <dauser@example.com>; for target@spamtargetaddress.com ۲۰۱۳–۱۲–۲۷ ۱۱:۳۴:۵۲ 1VwUkl–0006D4–Co => target@spamtargetaddress.com F=<dauser@example.com>; R=lookuphost T=remote_smtp S=۳۵۷۶ H=۱۷۲.۱۱.۸۰.۱۷۰ [۱۷۲.۱۱.۸۰.۱۷۰] C=“۲۵۰ ۲.۰.۰ Ok: queued as E19AA22B0173” ۲۰۱۳–۱۲–۲۷ ۱۱:۳۴:۵۲ 1VwUkl–0006D4–Co Completed |
مثال ب:
۱ | ۲۰۱۳–۱۲–۲۷ ۲۰:۳۶:۱۰ 1VwdCb–0001ze–5c <= user@example.com H=([۱۷۲.۲۵.۱۰۰.۹۵]) [۱۷۲.۲۵.۱۰۰.۹۵] P=esmtpa A=login:user@example.comS=۱۰۰۱۵۶ id=XREO1FTV–KAX1–NLMI–0XTF–4BPJKR7EII6F@spamtarget.com T=“FREE MONEY EVERYDAY – £۱ MILLION IN UNDER 7 YEARS” from <user@example.com>; for target@spamtargetaddress.com |
در مثال الف ، عبارت “U=apache” گویای این است که ارسال ایمیل از طریق وبسرور انجام شد. در صورتی که suphp و یا mod_ruid2 برروی سرور فعال باشند، نام آپاچی ثبت نخواهد شد. در این صورت نام کاربری ثبت شده در دایرکت ادمین در این فیلد ثبت خواهد شد که می توان به کمک اکانت ارسال آلوده را شناسایی نمود. دقت تمایید در این حالت محتوای فیلد F یا ارسال کننده لزوما واقعی نمی باشد و ممکن از اطلاعات غیرواقعی استفاده شده باشد که از طریق دامنه آن امکان شناسایی کاربر وجود ندارد.
متغیر T مربوط به عنوان ایمیل بوده که در این مثال اسپم بودن آن به درستی مشخص میباشد.
در مثال ب ، عبارت “P=esmtpa” را مشاهده مینمایید که نشان میدهد ایمیل از طریق smtp ارسال شده است. آیپی ارسال کننده به صورت “H=([172.25.100.95]) [172.25.100.95]” نمایش داده شده و حساب کاربری ای که از آن جهت ارسال استفاده شده به صورت “A=login:user@example.com“ درج گردیده است که در این حالت شما می توانید بسادگی اکانت آلوده را شناسایی نمائید. عنوان ایمیل نیز کاملا گویای اسپم بودن ایمیل است.
با دستور زیر می توانید اطلاعات بیشتری در خصوص ارسال کننده دریافت نمایید
۱ | [root@server]# tail -n 10000 mainlog | grep user@example.com | more |
۱ | [root@server]# tail -n 10000 mainlog | grep user | more |
با کمک mail ID میتوانید اطلاعات ایمیل را در ترمینال چاپ کنید
۱ | [root@server]# cat mainlog | grep 1VwfCb-0003ze-5c |
همچنین میتوانید جستجوی خود را با (عنوان ایمیل) انجام دهید:
۱ | [root@server]# tail -n 10000 mainlog | grep -i “FREE MONEY EVERYDAY” | more |
دستور مشاهده ایمیل هایی که در صف انتظار برای ارسال قرار دارند بصورت صفحه صفحه:
۱ | [root@server]# exim -bp | more |
دیدن ( header ) ایمیل خاص، با دستور زیر بعلاوه mail ID :
۱ | [root@server]# exim -Mvh 1Vx7MK-0007RR-Re |
نمونه ای از خروجی دستور فوق:
۱ ۲ ۳ ۴ ۵ ۶ ۷ ۸ ۹ ۱۰ | 198P Received: from apache by your.servername.com with local (Exim ۴.۷۲) (envelope–from <dauser@example.com>;) id 1Vx7MK–0007RR–Re for target@targetaddress.com; Sun, ۲۹ Dec ۲۰۱۳ ۰۴:۴۸:۱۲ +۰۱۰۰ ۰۳۸ Date: Sun, ۲۹ Dec ۲۰۱۳ ۰۴:۴۸:۱۲ +۰۱۰۰ 057I Message–Id: <e1vx7mk–0007rr–re@your.servername.com>; 030T To: target@targetaddress.com ۰۵۱ Subject: Exper tP harma cy ۰۵۹ X–PHP–Script: www.example.com/components/com_module/x.php for ۱۴۲.۱۷.۱۴۷.۲۸ 028F From: dauser@example.com |
گزینه “from apache” بیانگر این است که ایمیل توسط وب سرور ارسال شده است.
گزینه “X-PHP’Script” مسیر ارسال ایمیل را نشان میدهد. فایل مخرب را می توانید در همین مسیر پیدا کنید.
در صورتی که اسپم از طریق smtp ارسال شده باشد٬ کافیست مشخصات ورود به ایمیل را تغییر دهید و به کاربر اطلاع رسانی که کنید که مشخصات ایمیل شان افشا شده بود و به همین دلیل اقدام به تغییر مشخصات ورود نموده اید. ایمیل های ارسالی از طریق وب سرور را بهتر است با تعلیق سرویس مربوطه واکنش نشان دهید.
وارد مسیر پوشه public_html مربوط به کاربر شوید:
۱ | [root@server]# cd /home/username/domains/example.com/public_html |
فایلهای کد شده base64 را لیست کنید:
۱ | [root@server]# find . -name ‘*.php’ | while read FILE; do if grep ‘eval(base64_decode’ “$FILE”; then echo “$FILE” >> maybeinfected; fi ; done |
این دستور فایلهای php که در این مسیر هستند را جستجو کرده و نام فایلهایی که به صورت base64 کد شده اند را در فایلی بنام maybeinfected ذخیره مینماید.
در صورتی که میدانید مشکل اسپم تقریبا از چه زمانی آغاز شده است میتوانید با استفاده از دستور زیر فایلهایی را که به عنوان مثال در ۳ روز گذشته تغییری در آن ایجاد شده لیست نمایید، باید دقت نمائید که ممکن است فایل های اصلی اسکریپت مورد استفاده که احیانا رمز گذاری شده اند نیز در این جستجو نمایش داده شوند.
۱ | [root@server]# find . -type f -user apache -ctime -3 | more |
بخش –user apache جستجو را به فایلهایی که مالک آنها apache است محدود ساخته که در صورت تمایل میتوانید آن را از دستور فوق حذف نمایید.
ممکن است در لیست حاصل شده نامهای غیر عادی مانند x.php، ۴۲۴٫php، sys2674123.php و … مشاهده نمایید که این فایلها نیازمند بررسی بیشتر خواهند بود.
خالی کردن صف ارسال ایمیل
برای تخلیه صف ارسال ایمیل در سرور میتوانید از دستور زیر استفاده کنید:
۱ | [root@server]# exim -bp | awk ‘{ print $3 }’ | xargs exim -Mrm |
چنانچه تعداد ایمیل های موجود در صف زیاد باشد ممکن است این دستور کمی به طول انجامد.
اگر قصد دارید صف ایمیل مربوط به یک ایمیل خاص را حذف کنید دستور زیر برای شما مناسب خواهد بود:
۱ | [root@server]# exiqgrep -i -f dauser@example.com | xargs exim -Mrm |
البته می توانید نام کاربری را هم از دستور بالا حذف کنید تا هر آنچه که مربوط به این دامنه در صف ایمیل است حذف شود.
پس از اجرای دستور فوق یکبار دیگر exim -bpc را اجرا کنید تا ببینید چقدر صف باقی مانده است.
حذف ایمیل های freeze مانده در صف ایمیل
ممکن است تعدادی از ایمیل ها freeze شده باشند که میتوانید با این دستور آنها را حذف کنید:
۱ | [root@server]# exipick -zi | xargs exim -Mrm |
اگر هنگام حذف با خطای زیر مواجه شده اید:
۱ | exim: malformed message id <dauser@example.com>; after –Mrm option |
برای رفع این خطا ابتدا با استفاده از دستور زیر mail ID ایمیل را که باعث ایجاد خطا شده است پیدا نمایید:
۱ ۲ | [root@server]# exim -bp | exiqgrep -i Line mismatch: 50h 1VwxAB–0005m5–7R <dauser@example.com>; |
با دستور زیر بصورت مستقیم اقدام به حذف ایمیل نمایید:
۱ | [root@server]# exim -Mrm 1VwxAB-0005m5-7R |
سپس مجددا اقدام به حذف ایمیلهای در انتظار نمایید.