Jak na spamera
Z WebHosting.FM - Napoveda
Návod, který nám pomůže zjistit, ze které schránky se skutečně spamuje (spamer změnil hlavičku mailu).
Postup:
- Ve /var/log/maillog najít IP adresu, odkud se spamuje (např. podle emailu na který odešel nebo ze kterého odchází)
- Ve /var/log/maillog hledat řetězec "[<ip_adresa>], sasl_method=LOGIN"; v proměnné sasl_username je pak jméno skutečné emailové adresy (uživatele)
Příklad:
Našli jsme, že spamer spamuje z IP adresy 1.2.3.4
Příkazem cat znovu prohledáme maillog:
cat /var/log/maillog |grep "[1.2.3.4], sasl_method=LOGIN"
Příkaz vrátí několik řádků, důležitá je hodnota sasl_username:
Feb 26 10:27:50 smtp postfix/smtpd[11467]: 1386DF9E9F: client=unknown[1.2.3.4], sasl_method=LOGIN, sasl_username=hokus.pokus@we.cz
Schránka hokus.pokus@we.cz je hacknutá, je třeba nad ní změnit heslo.
Vyčištění adresářů se spamem
Pro vyčištění adresáře se spamem (/var/spool/postfix/) se používá tento skript findspam.sh.
Skript se spustí příkazem:
findspam.sh <hledany_text>
echo "Start..." if "$1" == "" ; then echo "Musite zadat parametr pro vyhledavani!" else echo "Vyhledavam $1 ..." celkem=$(ls | wc -l) echo "Pocet prohledavanych souboru je celkem $celkem" grep -rnl '.' -e $1 > for_delete.txt nalezeno=$(wc -l < for_delete.txt) echo "Retezec $1 nalezen v $nalezeno souborech" for f in $(cat for_delete.txt) ; do echo "Mazu $f" rm -f "$f" done rm -f for_delete.txt fi echo "Hotovo."
