Tips Mencari Spam Pada Exim cPanel
Bentuk Serangan Spam
Secara teori spam adalah penggunaan perangkat elektronik untuk mengirimkan pesan secara bertubi-tubi tanpa dikehendaki oleh penerimanya. Analisa untuk mencari si spammer (pelaku spam) biasanya melakukan hal-hal berikut ini
- Menginjeksi file ke public_html biasanya menggunakan file php
- PC client yang digunakan telah terinjeksi oleh si spammer
- Spammer melakukan serangan brute force ke ip korban / ip mail server untuk menembus akun otorisasi.
Ciri - Ciri Terindikasi Spam
Jika telah terjadi serangan, biasanya mail pool nya akan full, mail lainnya akan terhalang untuk diproses. Ciri yang umum terjadi bisanya seperti berikut :
- Queue atau antrian mail akan naik secara terus menerus
- Status antrian pada umumnya adalah frozen.
- Mail normal akan terganggu untuk diproses.
Solusi Jika Terindikasi Terkena Spam
Solusi jika hal tersebut terjadi adalah sebagai berikut :
- Mencari akun pengguna yang banyak melakukan pengiriman email (pengiriman tidak normal) dalam hitungan detik. Jika ditemukan, lakukan lock terhadap akun mail tersebut.
- Melacak IP Address dari port email, misalkan pada port 25
- Mencari akun penerima email yang terbanyak (penerimaan tidak normal) dalam hitungan detik.
- Mencari IP Address dengan jumlah hit ke server terbanyak. Jika sudah mendapatkan IP Addressnya, bisa dilakukan pengecekan terlebih dahulu untuk memastikan bahwa IP tersebut bukan berasal dari Indonesia, jika sudah ditemukan lakukan blokir IP tersebut. Untuk pengecekan lokasi IP bisa menggunakan online tools menggunakan situs https://www.ultratools.com/tools/ipWhoisLookup.
- Mencari file yang berisi script spam yang telah diinjeksi oleh spammer. Jika sudah ditemukan, hapus file tersebut.
Exim Script Untuk Analisa Spam
Berikut command yang digunakan untuk pencarian spammer :
- Mencari top 5 user yang mengirim dalam jumlah banyak
- Melacak IP Spammer menggunakan port 25 default SMTP
- Melacak banyaknya port SMTP yang dimiliki
- Melacak 5 penerima email terbanyak
- Untuk memeriksa script yang berada pada suatu folder yang dicurigai terdapat aktifitas spamming
- Script untuk mengetahui IP Address dan jumlah hits ke server mail. Jika ditemukan hit ip address yang banyak, blok ip tersebut. Bisa cek lokasi ip menggunakan https://www.ultratools.com/tools/ipWhoisLookup
- Script untuk memberikan ringkasan email dan atrian
- Script untuk menampilkan jumlah email yang maksimal pada saat ini
- Script untuk menampilkan banyaknya email antrian per domain / angka
- Script untuk mengetahui file spammer yang digunakan untuk nge-spam server / mengirima email
- Jika sobat ingin mencari tahu dimana script spammingnya. Dibawah ini script yang akan menunjukkan file / script spamming yang sedang berjalan saat ini. Contoh pola parsing dan realita penulisan sesuai kasus.
- Populer script nih, yang biasa saya pakai. Untuk mengapus email yang menyangkut (frozen email)
- Melacak jika ada tidaknya spamming di folder /tmp
- Menampilkan IP Address dan jumlah email yang dicoba untuk melakukan aktifitas pengiriman email tapi ditolak / rejected oleh server
- Menampilkan IP Address yang melakukan koneksi dari IP Tertentu ke SMTP Server
- Menampilan nama domain dan jumlah atrian emailnya
- Jika terjadi spamming dari domain luar, dapat memblokir domain / email tersebut pada server. Sample penulisan script terlampir juga dibawah ini.
grep "<=.*P=local" /var/log/exim_mainlog | awk '{print $6}' | sort | uniq -c | sort -nr | head -5
eximstats /var/log/exim_mainlog | grep -A7 "Top 5 local senders by message count" | tail -5 | awk '{print $1,$NF}'
netstat -plan |grep :25 | awk '{print $5}' |cut -d: -f1 |sort |uniq -c |sort -n
cat /etc/services | grep smtp
egrep "(=>.*T=virtual_userdelivery|=>.*T=local_delivery)" /var/log/exim_mainlog | awk '{print $7}' | sort | uniq -c | sort -nr | head -5
eximstats /var/log/exim_mainlog | grep -A7 "Top 5 local destinations by message count" | tail -5 | awk '{print $1,$NF}'
awk '{ if ($0 ~ "cwd" && $0 ~ "home") {print $3} }' /var/log/exim_mainlog | sort | uniq -c | sort -nk 1
awk '{ if ($0 ~ "cwd" && $0 ~ "home") {print $4} }' /var/log/exim_mainlog | sort | uniq -c | sort -nk 1
grep POST /dhome2/bridge/access-logs/* | awk '{print $7}' | sort | uniq -c | sort -n
tail -n1000 /var/log/exim_mainlog |grep SMTP|cut -d[ -f2|cut -d] -f1|sort -n |uniq -c
exim -bpr | exiqsumm -c | head
exim -bpr | grep "<*@*>" | awk '{print $4}'|grep -v "<>" | sort | uniq -c | sort -n
exim -bpr | grep "<*@*>" | awk '{print $4}'|grep -v "<>" |awk -F "@" '{ print $2}' | sort | uniq -c | sort -n
ps -C exim -fH eww ps -C exim -fH eww | grep home cd /var/spool/exim/input/ egrep "X-PHP-Script" * -R
ps auxwwwe | grep (namausernya) | grep --color=always "(lokasinya)" | head
ps auxwwwe | grep test8 | grep --color=always "/home/test8/public_html/wp-content/themes/magazine" | head
exim -bp | awk '$6~"frozen" {print $3 }' | xargs exim -Mrm
tail -f /var/log/exim_mainlog | grep /tmp
tail -3000 /var/log/exim_mainlog |grep 'rejected RCPT' |awk '{print$4}'|awk -F\[ '{print $2} '|awk -F\] '{print $1} '|sort | uniq -c | sort -k 1 -nr | head -n 5
netstat -plan|grep :25|awk {‘print $5′}|cut -d: -f 1|sort|uniq -c|sort -nk 1
exim -bp | exiqsumm | more
vi /etc/antivirus.exim
if $header_from: contains “name@domain.com” then seen finish endif
Post a Comment for "Tips Mencari Spam Pada Exim cPanel"
Post a Comment