¿Encontrar scripts de envío de spam?

7

¿Cuáles son los consejos para encontrar scripts de envío de correo no deseado? Lo pregunto porque, por lo general, golpeo un muro en entornos de alojamiento compartido, por lo que formulo esta pregunta como una forma de obtener información de los demás.

Lo que hago:

  • Verifique los RBL para la IP y posiblemente obtenga la hora en que se enumeró la IP.
  • Ir a través de transfer.logs y registros de FTP en busca de cualquier actividad maliciosa.
  • Verá transfer.logs en modo "en vivo" ( tail -fn0 ) en busca de actividad maliciosa.
  • grep para los archivos de script modificados más recientemente (py, cgi, pl, php).
  • Ejecutar maldet / clamav ; aunque rara vez encuentra ningún script de spam; (
  • strace mail process si tengo que hacerlo.
  • Comprueba si el UID de la secuencia de comandos enviada se remonta a un usuario.
  • Comprueba los encabezados de correo electrónico X-PHP-Origin y X-Mailer .
  • Utilice el script findbot.pl: enlace
pregunta user1529891 10.04.2013 - 23:43
fuente

3 respuestas

2

Lo que hacemos en las plataformas de alojamiento compartido es limitar / bloquear las conexiones salientes (especialmente UDP) y verificar si hay secuencias de comandos que intentan enlazar a puertos (escuchas). Forzamos todo el tráfico SMTP a través de nuestro servidor de correo, donde limitamos el tráfico SMTP y almacenamos los registros que contienen el nombre de usuario del cliente. Asignamos ID de usuario únicas por cliente para que podamos rastrear incidentes a usuarios específicos. Los servidores FTP se verifican en direcciones IP sospechosas (en su mayoría de otros continentes) y los nombres de los archivos que se cargan (archivos mal conocidos para Joomla, Magento, etc.). Tenemos scripts que detectan archivos que se descargan y se cargan con un tiempo muy limitado (segundos) entre esas acciones, lo que resultó ser otra buena manera de detectar cuentas FTP comprometidas.

No lo he usado, pero es posible que desee probar HoneySpider ( enlace ), que escanea sitios web en busca de archivos maliciosos. guiones, etc.

    
respondido por el Teun Vink 17.05.2013 - 14:20
fuente
1

No permita que los scripts no autorizados envíen correos electrónicos, avise a los administradores si un script está enviando correos electrónicos a altas tasas. Es probable que la mayoría de los usuarios no necesiten la funcionalidad de correo electrónico, no se la entreguen a menos que la soliciten y especifiquen el motivo por el que la necesitan.

    
respondido por el Ryan Cleary 23.04.2013 - 22:21
fuente
1

Debe guardar una copia de todos los archivos de su sitio en un lugar que no sea su alojamiento compartido (por ejemplo, en su computadora). Cuando desee comprobar si hay un script malicioso en el alojamiento compartido, puede descargar un archivo zip de todos los archivos del alojamiento y diferenciarlo de su copia local de los archivos. Uso Meld para esta diferencia porque compara directorios recursivamente.

Otra opción es usar Nikto2 ( enlace ) que escanea su sitio en busca de una lista grande y frecuentemente actualizada de malware conocido visto a menudo en servidores web.

    
respondido por el davidwebster48 01.05.2013 - 15:13
fuente

Lea otras preguntas en las etiquetas