Tìm PHP scripts phát tán email trong Cpanel server – VPS

Cpanel là công cụ hoàn hảo cho việc bán hosting, nó cũng là đối tượng để attacker khai thác và sử dụng vào mục đích SPAM. Các PHP scripts rất hay được sử dụng do nó dễ viết và dễ thực hiện. Một khi điều này xảy, mail server sẽ nhanh chóng được để ý và nếu kéo dài, nó sẽ nằm gọn trọng Blacklist của các tổ chức, từ đó việc gửi mail là bất khả thi, ví dụ cụ thể nhất là nếu bị Google block thì chỉ có cách bán sới, bỏ IP đó đi thôi.

VCLOUD xin hướng dẫn cách thức để tìm và diệt những scipts độc hại này, tất nhiên là còn vô số cách khai thác khác mà một system admin luôn phải theo dõi để phòng chống. Đây là cách phổ biến thực hiện trên Cpanel server.

Trước tiên login vào Cpanel WHM và chọn

WHM > Exim Configuration Editor > Advanced Editor

tìm và thay thế

log_selector = +all

Restart services và ta đã có thể nhìn được đường dẫn của scripts (cwd) trong log của exim. Sau đó chạy lệnh:

grep cwd=/home /var/log/exim_mainlog

Và nếu được kết quả như này:

2015-04-03 03:59:02 [1234] cwd=/home/myserver/public_html 3 args: /usr/sbin/sendmail -t -i
2015-04-03 03:59:02 [1234] cwd=/home/myserver/public_html 3 args: /usr/sbin/sendmail -t -i

Thì sau đó vào thư mục đã xác định để tìm kiếm

cd /home/myserver/public_html
egrep “/usr/sbin/sendmail” * -R

Loại bỏ các scripts vừa tìm được!

Một cách khác có thể dùng đến như sau

netstat -plan | grep 127.0.0.1

Nếu nhìn thấy như sau

tcp 0 0 127.0.0.1:12345 127.0.0.1:25 ESTABLISHED 12345/sshd: user
tcp 0 0 127.0.0.1:12345 127.0.0.1:25 ESTABLISHED 12345/sshd: user

Thì ta sẽ sử dụng lệnh

lsof -p 12345

Lệnh này sẽ cho ra user và đường dẫn tới scripts mà user đó đang dùng, từ đó tìm và diệt những scripts độc hại!

Khi thuê VPS Cpanel ở VCLOUD, những tính năng này sẽ được VCLOUD setup sẵn để tạo điều kiện quản trị tốt nhất cho khách hàng. Nếu vẫn chưa thực hiện được, quý khách hãy gọi hotline 0908751868 để chúng tôi trợ giúp nhanh nhất. VCLOUD cam kết mang dịch vụ tốt nhất, giá trị nhất cho tất cả khách hàng đến với chúng tôi.