cPanel server con Exim MTA y Dovecot. Algunos piratas informáticos encuentran scripts antiguos en el directorio público de diferentes usuarios y cargan archivos codificados en base64 y luego los utilizan para enviar spam masivo.
¿Cómo puedo bloquearlo en el servidor o en Exim config, sin desactivar los scripts normales de PHP que envían correos electrónicos legítimos?
Ejemplo de ese código enlace
Esto probablemente significa que usted o sus usuarios están usando software / aplicaciones obsoletas. La única forma de evitar esto, es actualizar y parchear regularmente este software / aplicaciones a menos que el pirata informático esté utilizando un exploit de 0 días que se desconoce actualmente.
Intente determinar el punto de entrada donde se carga este script desde los archivos de registro del servidor web. Una vez encontrado, informe a su (s) usuario (s) para parchear su software / aplicación (s).
Si crees que deberías bloquear esto en el "nivel SMTP", creo que estás equivocado. Cuando los hackers pueden cargar y ejecutar archivos PHP maliciosos, su servidor puede estar (parcialmente) comprometido. Intente determinar la causa raíz en lugar de arreglarla en otro lugar.
Sugiero investigar cuánto del servidor está comprometido por medio de archivos de registro. En el peor de los casos, sugeriría comenzar desde cero.
sí, es obvio que los clientes tienen que actualizar el guión y que va a ser un problema con los lunares, seguimos marcando al usuario mientras deshabilitamos el guión, pero de alguna manera un usuario tonto restaura la copia de seguridad antigua o algo así y esta actividad maliciosa se repite. Una vez más, pasamos por el proceso de encontrar el correo no deseado y luego el script, luego volvemos a bloquear el script y el mensaje para el cliente, solo para que otro usuario vuelva a repetir el mismo proceso, lo que daña la reputación de la propiedad intelectual porque se bloquea constantemente.
Estoy totalmente de acuerdo en que el servidor debe ser sanatizado y actualizado los scripts, pero cuando se tiene un alojamiento compartido de US $ 1 a 4 dólares donde a veces las personas que no son expertos en tecnología o algún niño de la escuela que intenta albergar su proyecto usa scripts antiguos y no .porque la actualización es tan importante, algunas compañías no quieren contratar a otro desarrollador para actualizar el script y constantemente nos dicen en el hosting para "RESOLVER EL PROBLEMA DE LA MISMA, ¿Por qué es malo su servidor? Este es un problema de hosting, de lo contrario, me ocuparé de mi negocio en alguna parte, he perdido $ 2000 dólares porque la empresa inhabilitó mi sitio web, voy a GoDaddy si no habilitas "en lugar de arreglar el script mediante la actualización, esto va a suceder constantemente sin importar lo que intentemos decirles que guarden los scripts actualizado.
Desearía que hubiera algún sistema de deshabilitación automática dentro de drupal o wordpress que se elimine a sí mismo una vez que sea vulnerable. esta es la razón por la que estoy tratando de encontrar una manera de hacerlo con Mail MTA o con alguna regla de firewall o csf o algo así. ps: lo siento por la perorata.
Lea otras preguntas en las etiquetas spam