Detectar SPAM

#1 Anderson

Super Membro

Grupo: Membros
Posts: 116
Cadastrado: 24-março 08

Posted 22 fevereiro 2010 - 12:15

Olá!

É a segunda vez seguida em 2 semanas que o IP do meu servidor é listado em blacklist por envio de SPAM. Listado em: CBL - ivmSIP - Spamhaus-ZEN

Gostaria de saber como se faz para detectar um SPAM, de onde ele está partindo no servidor, e como bloquear. Na primeira vez um tecnico da SL detectou que partia de um trojan Perl chamado dm.cgi - removemos e desbloqueamos o IP.

Agora denovo, e não sei se é causado pelo mesmo erro, verifiquei q não tem nenhum script Perl ativo no servidor.

Por favor, me ajude? Agradeço muito!

Anderson

#2 Rapid VPS

Ele mora no fórum!

Grupo: Membros
Posts: 977
Cadastrado: 07-março 06

Posted 25 fevereiro 2010 - 12:52

O Ideal quando se acha algum arquivo dm.cgi dentro do servidor, seria remover todo os arquivos, e alterar a senha do cliente Cpanel para uma mais complexa.
Se ocorrer com frequencia no mesmo cliente, ou a senha esta vazando ou a maquina do cliente esta infectada..

Verifique qual Ip foi usado para upar os arquivos, normalmente sao varios aaa.hhml e outras coisas do tipo, veja se e Gringo ou Brasileiro...

Espero te-lo ajudado.

#3 little_oak

Se às mãos fazem errar -> yum remove hands -y

Grupo: Membros
Posts: 1166
Cadastrado: 19-julho 07
Gender:Male
Interests:Gnu/Linux, Windows Server, PHP, Mysql, Postgres, Ajax, Flex e Café, soldat, Warcraft, Quake, Counter Strike, Cachorros, Surf e tomar muito, mas muito café!

Posted 26 fevereiro 2010 - 04:36

Em seu modsecurity insira as linhas:

SecRule REQUEST_URI "dm.cgi"
SecRule REQUEST_BODY|REQUEST_URI "\.cgi\?m\=state"
SecRule REQUEST_BODY|REQUEST_URI "cgi\?m\=snd"
SecRule REQUEST_BODY|REQUEST_URI "cgi\?m\=icfg"

E seja feliz para sempre