Jak na spamera

Z WebHosting.FM - Napoveda
Přejít na: navigace, hledání

Návod, který nám pomůže zjistit, ze které schránky se skutečně spamuje (spamer změnil hlavičku mailu).

Postup:

  1. Ve /var/log/maillog najít IP adresu, odkud se spamuje (např. podle emailu na který odešel nebo ze kterého odchází)
  2. Ve /var/log/maillog hledat řetězec "[<ip_adresa>], sasl_method=LOGIN"; v proměnné sasl_username je pak jméno skutečné emailové adresy (uživatele)

Příklad:

Našli jsme, že spamer spamuje z IP adresy 1.2.3.4

Příkazem cat znovu prohledáme maillog:

cat /var/log/maillog |grep "[1.2.3.4], sasl_method=LOGIN"


Příkaz vrátí několik řádků, důležitá je hodnota sasl_username:

Feb 26 10:27:50 smtp postfix/smtpd[11467]: 1386DF9E9F: client=unknown[1.2.3.4], sasl_method=LOGIN, sasl_username=hokus.pokus@we.cz

Schránka hokus.pokus@we.cz je hacknutá, je třeba nad ní změnit heslo.


Vyčištění adresářů se spamem

Pro vyčištění adresáře se spamem (/var/spool/postfix/) se používá tento skript findspam.sh.

Skript se spustí příkazem:

findspam.sh <hledany_text>

echo "Start..."
if  "$1" == "" ; then
   echo "Musite zadat parametr pro vyhledavani!"
else
   echo "Vyhledavam $1 ..."
   celkem=$(ls | wc -l)
   echo "Pocet prohledavanych souboru je celkem $celkem"
   grep -rnl '.' -e $1 > for_delete.txt
   nalezeno=$(wc -l < for_delete.txt)
   echo "Retezec $1 nalezen v $nalezeno souborech"
   for f in $(cat for_delete.txt) ; do
       echo "Mazu $f"
       rm -f "$f"
   done
rm -f for_delete.txt
fi
echo "Hotovo."