Mặc dù Cpanel là công cụ rất đa năng nhưng chúng vẫn có thể bị một số các scripts mã độc hại tấn công và các đối tượng Attacker khai thác và sử dụng vào mục đích SPAM. Các PHP scripts rất hay được sử dụng do nó dễ viết và dễ thực hiện. Một khi điều này xảy, mail server sẽ nhanh chóng được để ý và nếu kéo dài, nó sẽ nằm gọn trọng Blacklist của các tổ chức, từ đó việc gửi mail là bất khả thi, ví dụ cụ thể nhất là nếu bị Google block thì chỉ có cách bán, bỏ IP đó đi thôi.
Trước tiên login vào Cpanel WHM và chọn
WHM > Exim Configuration Editor > Advanced EditorTìm và thay thế
log_selector = +allRestart services và ta đã có thể nhìn được đường dẫn của scripts (cwd) trong log của exim. Sau đó chạy lệnh:
grep cwd=/home /var/log/exim_mainlogVà nếu được kết quả như này:
2015-04-03 03:59:02 [1234] cwd=/home/myserver/public_html 3 args: /usr/sbin/sendmail -t -i
2015-04-03 03:59:02 [1234] cwd=/home/myserver/public_html 3 args: /usr/sbin/sendmail -t -i
Thì sau đó vào thư mục đã xác định để tìm kiếm
cd /home/myserver/public_htmlLoại bỏ các scripts vừa tìm được!
egrep “/usr/sbin/sendmail” * -R
Một cách khác có thể dùng đến như sau
netstat -plan | grep 127.0.0.1Nếu nhìn thấy như sau
tcp 0 0 127.0.0.1:12345 127.0.0.1:25 ESTABLISHED 12345/sshd: user
tcp 0 0 127.0.0.1:12345 127.0.0.1:25 ESTABLISHED 12345/sshd: user
Thì ta sẽ sử dụng lệnh
lsof -p 12345Lệnh này sẽ cho ra user và đường dẫn tới scripts mà user đó đang dùng, từ đó tìm và diệt những scripts độc hại!
No comments:
Write Comments