Neste guia, vou ensinar-lhe como usar o log de correio do Exim em seu servidor VPS ou dedicado para encontrar possíveis tentativas de spammers para usar seus scripts ou os seus próprios, a fim de retransmitir spam de seu servidor.
Como o spam é enviado do meu servidor?

Você pode ter um recurso “diga a um amigo” em seu site, ou outro sistema de alerta de e-mail em seu site. Se você não for cuidadoso estes às vezes podem ser explorados por bots para fins de spam. Isso pode danificar a reputação de envio de seu endereço IP de e-mail e levar a problemas como fazer você acabar em uma lista negra.
Como faço para parar o spam vindo do meu servidor?

Exim, ou o MTA (Mail Transfer Agent) em seu servidor trata de entregas de e-mail. Todas as atividades de e-mail são registradas, incluindo emails enviados de scripts. Ele faz isso registrando o diretório de trabalho atual de onde o script foi executado.

Usando esse conhecimento, você pode facilmente localizar um script de seu próprio que está sendo explorado para enviar spam, ou localizar possivelmente scripts maliciosos que um spammer colocou em seu servidor.
Localize scripts superiores enviando para o Exim

Nas etapas abaixo vou mostrar como localizar os principais scripts em seu servidor enviando e-mails. Se algum script parecer suspeito, você pode verificar os logs de acesso do Apache para descobrir como um spammer pode estar usando seus scripts enviando spam.

Para seguir as etapas abaixo, você precisará de acesso root ao seu servidor, para que você tenha acesso ao log de mensagens do Exim.

1- Acesse seu SSH como root

2- Execute o seguinte comando para puxar o local de script de mala direta mais usado do log de correio do Exim:

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n

Você verá algo como:

15 /home/usuario1/public_html/blog
25 /home/usuario2/public_html
7866 /home/usuario3/public_html/sobre

Podemos ver no exemplo que o /home/usuario3/public_html/sobre esta enviando bastante e-mail

3- Agora podemos executar o seguinte comando para ver quais scripts estão localizados nesse diretório:

ls -lahtr /home/usuario3/public_html/sobre

E veremos algo como:

drwxr-xr-x 17 usuario3 usuario3 4.0K Jan 20 10:25 ../
-rw-r–r– 1 usuario3 usuario3 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 usuario3 usuario3 4.0K Jan 20 11:27 ./

Então podemos ver que há um script chamado mailer.php neste diretório

4- Sabendo que o script mailer.php estava enviando e-mails, agora podemos dar uma olhada no nosso log de acesso do Apache para ver quais endereços IP estão acessando este script usando o seguinte comando:

grep “mailer.php” /home/usuario3/access-logs/example.com | awk ‘{print $1}’ | sort -n | uniq -c | sort -n

Veremos então algo parecido com:

2 123.123.123.126
2 123.123.123.125
2 123.123.123.124
7860 123.123.123.123

Podemos ver o endereço IP 123.123.123.123 estava usando nosso script mailer em uma natureza maliciosa.

5- Sabendo que este IP esta enviando SPAM via o mailer.php recomendamos que abra o arquivo e verifique o seu conteúdo e também faça o bloqueio previamente do IP, pode ser feito via CSF e outros, exemplo:

apf -d 123.123.123.123 “Enviando SPAM via /home/usuario3/public_html/sobre”

Esperamos que você tenha aprendido a usar seu log de mensagens do Exim para ver quais scripts no seu servidor estão causando a maior atividade de e-mail. Também como investigar se a atividade maliciosa está acontecendo, e como bloqueá-lo.