اطلاعات تماس

تهران ، آیت الله کاشانی ، پلاک 160 واحد 27

92001474 - 021

info@negarnovin.com

ناحیه کاربری

شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم

با شما هستیم با شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم در خدمت شما خواهیم بود تا انتهای این مطلب ما را همراهی کنید. و یا با  محیط آن آشنا گردید به مطالعه این مطللب بپردازید.

بکاپ منظم روزانه هفتگی ماهانه در یک سرور مجزا از مزیت نگارنوین نسبت به سایرین می باشد.

شرکت نگارنوین با همت بهترین کارشناس های قوی به شما کاربران و مشتریهای عزیز خدمت رسانی میکند تا هرچه آسان تر و بهتر به درخواست های خود برسید.

شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم در سرور چطور انجام می شود؟

مشکل ارسال اسپم و هرزنامه برای همه کاربران اینترنتی بارها رخ داده است و علیرغم وجود راه های مختلف خیلی بعید است که تا کنون از دست این مشکل کلافه نشده باشید. تصور برخی این است که این ایمیل ها توسط یک سری اشخاص در پشت رایانه هایشان ارسال می شوند. در صورتی که اسپمر ها از ایمیل سرور و یا حساب هک شده ایمیل و حفره های امنیتی سایت های دیگران اقدام به ارسال اسپم می کنند. مدیران سرور اغلب نظارتی بر این مورد ندارند و هرگاه IP آنها در blacklist ها ثبت شده از ماجرا با خبر می شوند.

ارسال اسپم در سرور چه علائمی دارد:

  • کندی سرعت و مصرف بیشتر منابع توسط mail server
  • عدم دریافت ایمیل ها در مقصد
  • قرار گرفتن آی‌پی سرور در بلک لیست ( blacklist )
  • اشغال فضای سرور به دلیل برگشت ایمیل
  • و تشکیل صف طولانی برای ارسال ایمیل در سرور

روش های رایج ارسال اسپم کدامند؟

  • SMTP
  • استفاده از پروتکل mailسایت‌های هک شده
  • برخی اسکریپت های perl دارای باگ بارگزاری شده در سرور

در روش SMTP اسپمرها به یکی از حساب‌های کاربری معتبر تعریف شده برروی سرور دسترسی یافته و از طریق آن اقدام به ارسال ایمیل می‌نمایند.
روش smtp spam از طرق مختلفی مانند Broute Force کردن حساب‌ کاربری یا به کمک انواع بد افزار ها برروی رایانه شخصی کاربر صورت می پذیرد.

استفاده از وبسایت‌های هک شده یکی از متداول ترین روش ها در میان هکر ها می‌باشد.
در این حالت با استفاده از bot ها به صورت خودکار اقدام به اسکن وبسایت‌ها برای یافتن حفره‌ امنیتی رایج نموده ، پس از یافتن وبسایت با حفره امنیتی سریعا از طریق بارگزاری یک فایل حاوی کدهای مخرب  و اجرای آن، از منابع سایت سوء استفاده می‌کنند.
همچنین ممکن است رایانه مدیر سایت نیز آلوده شده و هنگام بارگزاری مطالب و فایل‌های سایت، کدهای مخرب نیز برروی سایت بارگزاری شده و اجرا گردند.

سرور مجازی بورس

چطور به شناسایی اسپم بپردازیم؟

شناسایی اسپم کار نسبتا دشواری است که اگر سایت های زیادی در سرور میزبانی شوند٬ پیچیدگی شناسایی سایت های مخرب دوچندان می شود. در صورتی که از دایرکت ادمین استفاده می کنید بهترین کار این است که به بخش email accounts سپس صفحه ی email usage مراجعه کنید و به مرور اجمالی ایمیل های ارسالی بپردازید. موارد مشکوک کاملا مشخص هستند. همچنین سیستم پیام های دایرکت ادمین نیز گزارشی از ارسال های انبوه غیرمجاز به ثبت می رساند.

یکی دیگر از قابلیت های دایرکت ادمین Mail Queue administration می باشد. البته در صورتی که صف ایمیل سنگینی ایجاد شده باشد ممکن است دایرکت ادمین نتواند این صفحه را بارگزاری کند. در صورتی که Mail Queue administration باز شد و مشاهده نمودید که تعداد زیادی ایمیل در صف ارسال ‌قرار دارد و یا فرستنده و گیرنده آنها یکسان است بهتر است با کلیک بر روی Mail ID به بررسی آنها بپردازید.
در دایرکت ادمین بهترین کار این است که لاگ Exim را بررسی نمایید.

نحوه بررسی لاگ Exim :

شما می توانید پس از ورود به ترمینال لینوکس و مراجعه به مسیر زیر٬ لاگ اگزیم را مشاهده نمایید:

اخرین بخش لاگ‌ها در فایلی به نام mainlog ذخیره می‌گردد.
با زدن دستور زیر تعداد ایمیل هایی که در صف قرار دارند قابل مشاهده خواهند بود:

با توجه به این خروجی٬ بیشتر از یک میلیون ایمیل در صف هستند. مشاهده کل این لاگ امکان پذیر نیست پس مجبور هستیم با دستور زیر ۱۰,۰۰۰ خط انتهایی mainlog را مشاهده کنیم.

البته دستور فوق دارای سوئیچ more می باشد تا بتوانید گزارش ها را بصورت صفحه بندی شده و مرتب مشاهده کنید. برای مراجعه به صفحات بعدی کافیست از space استفاده کنید.

 

خروجی زیر هم ممکن است در بین لاگ مشاهده شود:

در این پیغام  همانطور که قابل مشاهده میباشد، با یک ایمیل بازگشت داده شده (  bounce e-mail ) روبرو هستیم. در حالت عادی  وجود ایمیل‌های بازگشت داده شده امری عادی می باشد، اما اگر با تعداد بسیاری زیادی از آن روبرو باشیم لازم است تا  مبدا و مقصد ایمیل ها رو بررسی نمائید در صورتیکه از یک source address (حساب کاربری ارسال کننده ایمیل) که در این مثال source@example.com است تعداد زیاد مشابهی را ملاحظه می فرمائید می بایست حساب کاربری ایمیل را به عنوان یک حساب مشکوک یادداشت نمایید تا بعدا بیشتر آن را مورد بررسی قرار دهید.

مورد دیگری که ممکن است در لاگ‌ها مشاهده کنید به صورت زیر می‌باشد:

این پیغام نیز اعلام می دارد که IP سرور در مقصد بلاک شده است.

برخی موارد که در لاگ باید به دنبال آنها باشیم
مثال الف:

مثال ب:

در مثال الف ، عبارت “U=apache” گویای این است که ارسال ایمیل از طریق وبسرور انجام شد. در صورتی که suphp و یا mod_ruid2 برروی سرور فعال باشند، نام آپاچی ثبت نخواهد شد. در این صورت نام کاربری ثبت شده در دایرکت ادمین در این فیلد ثبت خواهد شد که می توان به کمک اکانت ارسال آلوده را شناسایی نمود. دقت تمایید در این حالت محتوای فیلد F یا ارسال کننده لزوما واقعی نمی باشد و ممکن از  اطلاعات غیرواقعی  استفاده شده باشد که از طریق دامنه آن امکان شناسایی کاربر وجود ندارد.
متغیر T مربوط به عنوان ایمیل بوده که در این مثال اسپم بودن آن به درستی مشخص می‌باشد.

در مثال ب ، عبارت “P=esmtpa” را مشاهده می‌نمایید که نشان می‌دهد ایمیل از طریق smtp ارسال شده است. آی‌پی ارسال کننده به صورت  “H=([172.25.100.95]) [172.25.100.95]”  نمایش داده شده و حساب کاربری ای که از آن جهت ارسال استفاده شده به صورت “A=login:user@example.com“ درج گردیده است که در این حالت شما می توانید بسادگی اکانت آلوده را شناسایی نمائید. عنوان ایمیل نیز کاملا گویای اسپم بودن ایمیل است.

با دستور زیر می توانید اطلاعات بیشتری در خصوص ارسال کننده دریافت نمایید

با کمک mail ID میتوانید اطلاعات ایمیل را در ترمینال چاپ کنید

همچنین میتوانید جستجوی خود را با (عنوان ایمیل) انجام دهید:

 

دستور مشاهده ایمیل هایی که در صف انتظار برای ارسال قرار دارند بصورت صفحه صفحه:

دیدن ( header ) ایمیل خاص، با دستور زیر بعلاوه mail ID :

نمونه ای از خروجی دستور فوق:

گزینه “from apache” بیانگر این است که ایمیل توسط وب سرور ارسال شده است.

گزینه “X-PHP’Script” مسیر ارسال ایمیل را نشان میدهد. فایل مخرب را می توانید در همین مسیر پیدا کنید.

در صورتی که اسپم از طریق smtp ارسال شده باشد٬ کافیست مشخصات ورود به ایمیل را تغییر دهید و به کاربر اطلاع رسانی که کنید که مشخصات ایمیل شان افشا شده بود و به همین دلیل اقدام به تغییر مشخصات ورود نموده اید. ایمیل های ارسالی از طریق وب سرور را بهتر است با تعلیق سرویس مربوطه واکنش نشان دهید.
وارد مسیر پوشه public_html‌ مربوط به کاربر شوید:

فایل‌های کد شده base64 را لیست کنید:

این دستور فایل‌های php که در این مسیر هستند را جستجو کرده و نام فایل‌هایی که به صورت base64 کد شده اند را در فایلی بنام maybeinfected ذخیره می‌نماید.

در صورتی که می‌دانید مشکل اسپم تقریبا از چه زمانی آغاز شده است می‌توانید با استفاده از دستور زیر فایل‌هایی را که به عنوان مثال در ۳ روز گذشته تغییری در آن ایجاد شده لیست نمایید، باید دقت نمائید که ممکن است فایل های اصلی اسکریپت مورد استفاده که احیانا رمز گذاری شده اند نیز در این جستجو نمایش داده شوند.

بخش –user apache جستجو را به فایل‌هایی که مالک آنها apache است محدود ساخته که در صورت تمایل می‌توانید آن را از دستور فوق حذف نمایید.

ممکن است در لیست حاصل شده نام‌های غیر عادی مانند x.php، ۴۲۴٫php، sys2674123.php و … مشاهده نمایید که این فایل‌ها نیازمند بررسی بیشتر خواهند بود.

خالی کردن صف ارسال ایمیل

برای تخلیه صف ارسال ایمیل در سرور میتوانید از دستور زیر استفاده کنید:

چنانچه تعداد ایمیل های موجود در صف زیاد باشد ممکن است این دستور کمی به طول انجامد.

اگر قصد دارید صف ایمیل مربوط به یک ایمیل خاص را حذف کنید دستور زیر برای شما مناسب خواهد بود:

البته می توانید نام کاربری را هم از دستور بالا حذف کنید تا هر آنچه که مربوط به این دامنه در صف ایمیل است حذف شود.

پس از اجرای دستور فوق یکبار دیگر exim -bpc را اجرا کنید تا ببینید چقدر صف باقی مانده است.

حذف ایمیل های freeze مانده در صف ایمیل

ممکن است تعدادی از ایمیل ها freeze شده باشند که میتوانید با این دستور آنها را حذف کنید:

اگر هنگام حذف با خطای زیر مواجه شده اید:

برای رفع این خطا ابتدا با استفاده از دستور زیر mail ID ایمیل را که باعث ایجاد خطا شده است پیدا نمایید:

با دستور زیر بصورت مستقیم اقدام به حذف ایمیل نمایید:

سپس مجددا اقدام به حذف ایمیل‌های در انتظار نمایید.

 

تبریک می گوییم شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم پایان رسید با مقالات بعدی ما را همراهی کنید.

شعار همیشگی: حفظ مشتریان فعلی ، دعوت از مشتریان قبلی ، جذب مشتریان آتی

شناسایی سایت آلوده ارسال کننده هرزنامه و اسپم

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *