Tips Mencari Spam Pada Exim cPanel

Bentuk Serangan Spam

Secara teori spam adalah penggunaan perangkat elektronik untuk mengirimkan pesan secara bertubi-tubi tanpa dikehendaki oleh penerimanya. Analisa untuk mencari si spammer (pelaku spam) biasanya melakukan hal-hal berikut ini

• Menginjeksi file ke public_html biasanya menggunakan file php
• PC client yang digunakan telah terinjeksi oleh si spammer
• Spammer melakukan serangan brute force ke ip korban / ip mail server untuk menembus akun otorisasi.
  

Ciri - Ciri Terindikasi Spam

Jika telah terjadi serangan, biasanya mail pool nya akan full, mail lainnya akan terhalang untuk diproses. Ciri yang umum terjadi bisanya seperti berikut :

• Queue atau antrian mail akan naik secara terus menerus
• Status antrian pada umumnya adalah frozen.
• Mail normal akan terganggu untuk diproses.

Solusi Jika Terindikasi Terkena Spam

Solusi jika hal tersebut terjadi adalah sebagai berikut :

• Mencari akun pengguna yang banyak melakukan pengiriman email (pengiriman tidak normal) dalam hitungan detik. Jika ditemukan, lakukan lock terhadap akun mail tersebut.
• Melacak IP Address dari port email, misalkan pada port 25
• Mencari akun penerima email yang terbanyak (penerimaan tidak normal) dalam hitungan detik.
• Mencari IP Address dengan jumlah hit ke server terbanyak. Jika sudah mendapatkan IP Addressnya, bisa dilakukan pengecekan terlebih dahulu untuk memastikan bahwa IP tersebut bukan berasal dari Indonesia, jika sudah ditemukan lakukan blokir IP tersebut. Untuk pengecekan lokasi IP bisa menggunakan online tools menggunakan situs https://www.ultratools.com/tools/ipWhoisLookup.
• Mencari file yang berisi script spam yang telah diinjeksi oleh spammer. Jika sudah ditemukan, hapus file tersebut.

Exim Script Untuk Analisa Spam

Berikut command yang digunakan untuk pencarian spammer :

1. Mencari top 5 user yang mengirim dalam jumlah banyak

grep "<=.*P=local" /var/log/exim_mainlog | awk '{print $6}' | sort | uniq -c | sort -nr | head -5

eximstats /var/log/exim_mainlog | grep -A7 "Top 5 local senders by message count" | tail -5 | awk '{print $1,$NF}'

2. Melacak IP Spammer menggunakan port 25 default SMTP

netstat -plan |grep :25 | awk '{print $5}' |cut -d: -f1 |sort |uniq -c |sort -n

3. Melacak banyaknya port SMTP yang dimiliki

cat /etc/services | grep smtp

4. Melacak 5 penerima email terbanyak

egrep "(=>.*T=virtual_userdelivery|=>.*T=local_delivery)" /var/log/exim_mainlog | awk '{print $7}' | sort | uniq -c | sort -nr | head -5

eximstats /var/log/exim_mainlog | grep -A7 "Top 5 local destinations by message count" | tail -5 | awk '{print $1,$NF}'

5. Untuk memeriksa script yang berada pada suatu folder yang dicurigai terdapat aktifitas spamming

awk '{ if ($0 ~ "cwd" && $0 ~ "home") {print $3} }' /var/log/exim_mainlog | sort | uniq -c | sort -nk 1

awk '{ if ($0 ~ "cwd" && $0 ~ "home") {print $4} }' /var/log/exim_mainlog | sort | uniq -c | sort -nk 1

grep POST /dhome2/bridge/access-logs/* | awk '{print $7}' | sort | uniq -c | sort -n

6. Script untuk mengetahui IP Address dan jumlah hits ke server mail. Jika ditemukan hit ip address yang banyak, blok ip tersebut. Bisa cek lokasi ip menggunakan https://www.ultratools.com/tools/ipWhoisLookup

tail -n1000 /var/log/exim_mainlog |grep SMTP|cut -d[ -f2|cut -d] -f1|sort -n |uniq -c

7. Script untuk memberikan ringkasan email dan atrian

exim -bpr | exiqsumm -c | head

8. Script untuk menampilkan jumlah email yang maksimal pada saat ini

exim -bpr | grep "<*@*>" | awk '{print $4}'|grep -v "<>" | sort | uniq -c | sort -n

9. Script untuk menampilkan banyaknya email antrian per domain / angka

exim -bpr | grep "<*@*>" | awk '{print $4}'|grep -v "<>" |awk -F "@" '{ print $2}' | sort | uniq -c | sort -n

10. Script untuk mengetahui file spammer yang digunakan untuk nge-spam server / mengirima email

ps -C exim -fH eww
ps -C exim -fH eww | grep home
cd /var/spool/exim/input/
egrep "X-PHP-Script" * -R

11. Jika sobat ingin mencari tahu dimana script spammingnya. Dibawah ini script yang akan menunjukkan file / script spamming yang sedang berjalan saat ini. Contoh pola parsing dan realita penulisan sesuai kasus.

ps auxwwwe | grep (namausernya) | grep --color=always "(lokasinya)" | head

ps auxwwwe | grep test8 | grep --color=always "/home/test8/public_html/wp-content/themes/magazine" | head

12. Populer script nih, yang biasa saya pakai. Untuk mengapus email yang menyangkut (frozen email)

exim -bp | awk '$6~"frozen" {print $3 }' | xargs exim -Mrm

13. Melacak jika ada tidaknya spamming di folder /tmp

tail -f /var/log/exim_mainlog | grep /tmp

14. Menampilkan IP Address dan jumlah email yang dicoba untuk melakukan aktifitas pengiriman email tapi ditolak / rejected oleh server

tail -3000 /var/log/exim_mainlog |grep 'rejected RCPT' |awk '{print$4}'|awk -F\[ '{print $2} '|awk -F\] '{print $1} '|sort | uniq -c | sort -k 1 -nr | head -n 5

15. Menampilkan IP Address yang melakukan koneksi dari IP Tertentu ke SMTP Server

netstat -plan|grep :25|awk {‘print $5′}|cut -d: -f 1|sort|uniq -c|sort -nk 1

16. Menampilan nama domain dan jumlah atrian emailnya

exim -bp | exiqsumm | more

17. Jika terjadi spamming dari domain luar, dapat memblokir domain / email tersebut pada server. Sample penulisan script terlampir juga dibawah ini.

vi /etc/antivirus.exim

if $header_from: contains “[email protected]” then seen finish endif