مشكله الاغراق البريدي من مستعمل لااحد على السيرفر

[RAK4Host]

اخوتى الكرام
هناك من يرسل قوائم من سيرفري باسم لااحد nobody
وهذه الدعايات تسبب ضغط على السيرفر بشكل رهيب
ايضا راسلتنا شركه السيرفر تهدد بفصل السيرفر اذا لم احل المشكله
طبعا لم استطع ان اعرف من هو الموقع المسؤول عن هذه المشكله فى السيرفر

وهذه رسالتهم وفيها رابط لموقع يبين الحل؟
===========================
We have received reports of phishing spam originating from this server. Please investigate, address the issue, and update this ticket with your action(s).
Due to the nature of this issue, failure to resolve the issue and update this ticket within 24 hours will result in administrative action taken on The Planet's behalf.
Please refer to the attached report for details.
Please note that a majority of phishing spam is attributable to the 'nobody' user - this is the user that Apache sends mail from. More information on identifying the scripts responsible can be found at:
http://www.webhostgear.com/232_print.html
and
http://www.webhostgear.com/118_print.html
We need a response to this ticket to prevent interruption of service. Please update this ticket with the action(s) you have taken to resolve the issue
===================

طبعا يجب حل المشكله او يغلق السيرفر
وانا لم استطع حلها
فهل مرت هذه المشكله على احد وماهى الطريقه لمنع رسائل لااحد
وكيف اعرف الموقع المتسبب بهذه المشكله


انتظر فزعتكم

[RAK4Host]

ياليت احد يكتب لى رد بالانجليزي اطلب منهم انهم يحلون المشكله بانفسهم
ويمنعون ويوقفون السيرفر من ارسال رسائل لاحد
لانى فشلت فى حل المشكله ولا اعرف ذلك وهم خبراء
لذلك اطلب منهم حل المشكله


واحملهم مسؤوليه ذلك وهم يتصرفون فى السيرفر بدلا من التهديد بالغلق

[mad_4u]

شوف تاريخ الارسال والوقت تلقاه بالهدر وادخل على
cd /var/log/
ومن ثم اكتب الامر هذا
nano exim_mainlog
وابحث عن التاريخ والوقت الي تم الارسال فيه وراح تلقى الي ارسل

[RAK4Host]

شوف تاريخ الارسال والوقت تلقاه بالهدر وادخل على
cd /var/log/
ومن ثم اكتب الامر هذا
nano exim_mainlog
وابحث عن التاريخ والوقت الي تم الارسال فيه وراح تلقى الي ارسل

سوف اجرب الطريقه
لكن ممكن تكتب لى رد بالانجليزي اطلب منهم انهم يحلون المشكله بانفسهم
ويمنعون ويوقفون السيرفر من ارسال رسائل لاحدلانى فشلت فى حل المشكله ولا اعرف ذلك وهم خبراء لذلك اطلب منهم حل المشكلهواحملهم مسؤوليه ذلك وهم يتصرفون فى السيرفر بدلا من التهديد بالغلق

شكرا لك

[SecurityWay]

السلام عليكم

أخي الكريم ,

الداتا سنتر ذا بلانت صحيح ؟

يمكننا عمل اللازم لك وكشف السبامر عند طلب خطة الحماية البرونزية وتكلفتها 70$

http://securityway.net/services/security

او كخدمة تقنية فقط للكشف عن السبامر + تأمين سيرفر البريد ومنع اكبر قدر من السبام مستقبلا .

http://securityway.net/services/tech

تكلف 50$ فقط .

بريد المبيعات بالتوقيع .

** اذا لم يناسبك فالرجاء تجاهل ردي .

تحياتي

[RAK4Host]

Time:
10 Minutes, Root access required.

Step 1)
Login to your server and su - to root.

Step 2)
Turn off exim while we do this so it doesn't freak out.
/etc/init.d/exim stop

Step 3)
Backup your original /usr/sbin/sendmail file. On systems using Exim MTA, the sendmail file is just basically a pointer to Exim itself.
mv /usr/sbin/sendmail /usr/sbin/sendmail.hidden

Step 4)
Create the spam monitoring script for the new sendmail.
pico /usr/sbin/sendmail

Paste in the following:


#!/usr/local/bin/perl

# use strict;
use Env;
my $date = `date`;
chomp $date;
open (INFO, ">>/var/log/spam_log") || die "Failed to open file ::$!";
my $uid = $>;
my @info = getpwuid($uid);
if($REMOTE_ADDR) {
print INFO "$date - $REMOTE_ADDR ran $SCRIPT_NAME at $SERVER_NAME n";
}
else {

print INFO "$date - $PWD - @infon";

}
my $mailprog = '/usr/sbin/sendmail.hidden';
foreach (@ARGV) {
$arg="$arg" . " $_";
}

open (MAIL,"|$mailprog $arg") || die "cannot open $mailprog: $!n";
while (<STDIN> ) {
print MAIL;
}
close (INFO);
close (MAIL);


Step 5)
Change the new sendmail permissions
chmod +x /usr/sbin/sendmail

Step 6)
Create a new log file to keep a history of all mail going out of the server using web scripts
touch /var/log/spam_log

chmod 0777 /var/log/spam_log

Step 7)
Start Exim up again.
/etc/init.d/exim start

Step 8)
Monitor your spam_log file for spam, try using any formmail or script that uses a mail function - a message board, a contact script.
tail - f /var/log/spam_log

Sample Log Output

Mon Apr 11 07:12:21 EDT 2005 - /home/username/public_html/directory/subdirectory - nobody x 99 99 Nobody / /sbin/nologin

Log Rotation Details
Your spam_log file isn't set to be rotated so it might get to be very large quickly. Keep an eye on it and consider adding it to your logrotation.

pico /etc/logrotate.conf

FIND:
# no packages own wtmp -- we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}

ADD BELOW:

# SPAM LOG rotation
/var/log/spam_log {
monthly
create 0777 root root
rotate 1
}



Notes:
You may also want to chattr + i /usr/sbin/sendmail so it doesn't get overwritten.

Enjoy knowing you can see nobody is actually somebody =)

Thanks to MattF and others who worked on this.

[RAK4Host]

ننتظر فزعه الشباب

[life4]

اخي لن تفيد هذه
يجب وجود PHP suEXEC وعمل كومبايل مع الاباتشي

اقترح انك توقف النوبدي من لوحة التحكم whm
واذا لم يكن مواقع كثيره تقدر تتفحص موقع موقع بالدوخل عليه و الدخول على مجلد email
سوف تجد حجم الملف الاندكس كبير هناك

حل سريع لكي توقف المسالة و تستطيع التفكير بعدها

تحياتي

[unix10.com]

اخي الكريم يمكنك ببساطه معرفه الحساب اللذي يرسل السبام عن طريق ..

أدخل لوحة التحكم WHM
اذهب من القائمه على اليسار الى Update Apache
اضغط load previous config ثم ضع علامة صح على PHP suEXEC Support
واضغط start build

سوف يأخذ منك بعض الوقت لحين الإنتهاء .

طبعا الان يمكنك مشاهده الرسائل المرسلة من السيرفر عن طريق الخيار Manage Mail Queue

وعند اختيار احد هذه الرسائل ستشاهد اسم المستخدم للحساب المرسل بجانب كلمة ident في بداية الصفحه .

[explorer]

السلام عليكم
عزيزى ساكتب اللى قالوه

اول حاجة سجل دخول بالروت للشيل
بعدين وقف الاكسيم
service exim stop
بعدين خد نسخة من ملف السيندميل كاحتياطى
mv /usr/sbin/sendmail /usr/sbin/sendmail.hidden


انشئ ملف سيند ميل جديد
pico /usr/sbin/sendmail

والصق بداخله

كود PHP:

#!/usr/local/bin/perl

# use strict;
use Env;
my $date = `date`;
chomp $date;
open (INFO, ">>/var/log/spam_log") || die "Failed to open file ::$!";
my $uid = $>;
my @info = getpwuid($uid);
if($REMOTE_ADDR) {
print INFO "$date - $REMOTE_ADDR ran $SCRIPT_NAME at $SERVER_NAME n";
}
else {

print INFO "$date - $PWD - @infon";

}
my $mailprog = '/usr/sbin/sendmail.hidden';
foreach (@ARGV) {
$arg="$arg" . " $_";
}

open (MAIL,"|$mailprog $arg") || die "cannot open $mailprog: $!n";
while (<STDIN> ) {
print MAIL;
}
close (INFO);
close (MAIL); 


اعطه تصريح
chmod +x /usr/sbin/sendmail


انشئ ملف لوج للسبام واعطه التصريح 777
touch /var/log/spam_log

chmod 0777 /var/log/spam_log

شغل الاكسيم تانى
service exim start

لمتابعة السبامر

tail - f /var/log/spam_log

سيظهر لك كمثال


Mon Apr 11 07:12:21 EDT 2005 - /home/username/public_html/directory/subdirectory - nobody x 99 99 Nobody / /sbin/nologin
انظر ستجد مسار الملف المرسل منه وبالتالى يوزر نيم السبامر

لتفريغ ملف لوج السبام تلقائيا

اكتب pico /etc/logrotate.conf

وابحث فيها عن

# no packages own wtmp -- we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}

واضف تحتها

# SPAM LOG rotation
/var/log/spam_log {
monthly
create 0777 root root
rotate 1
}

عزيزى ان واجهتك مشاكل اكتب
mv /usr/sbin/sendmail.hidden /usr/sbin/sendmail
لارجاع كل شئ كما كان

تحيتى لك

[RAK4Host]

شكرا لك اخى explorer
وشكرا لك اخى unix10.com واخي life4

لكن لم اجد فى لوحة التحكم هذا الخيارUpdate Apache
وكيف اوقف النوبدي من لوحة التحكم whm

وهل هو مهم او لا
وهل يتعطل شيء فى السيرفر اذا اوقفت النوبدي

[RAK4Host]

You may also want to enable logging to track php nobody spammers:

http://www.webhostgear.com/232_print.html
and
http://www.webhostgear.com/118_print.html
====================================




Updated: April 5, 2005

About Exim
Exim is a message transfer agent (MTA) developed at the University of Cambridge for use on Unix systems connected to the Internet. It is freely available under the terms of the GNU General Public Licence. In style it is similar to Smail 3, but its facilities are more general. There is a great deal of flexibility in the way mail can be routed, and there are extensive facilities for checking incoming mail. Exim can be installed in place of sendmail, although the configuration of exim is quite different to that of sendmail.
www.exim.org

Requirements
For this tutorial you will need root SSH access to your server. You will also need to be running Exim 4x MTA.
This works excellent with Cpanel machines!

What does this do?
What this addition does is it adds valuable logging information to your exim_mainlog file so that you can determine where messages are coming from, whos sending the message and from what directory on your server the user NOBODY is originating from, if your seeing mail leaving as nobody. In addition, it adds very useful information to exim_mainlog to help you decipher email coming and going.

Here is an example;

2003-06-27 14:06:18 cwd=/home/usersite/public_html/forums 3 args: /usr/sbin/sendmail -t -i
2003-06-27 14:06:18 19W0QE-0001Nr-1b nobody@yourserversname.com from env-from rewritten as ""usersite.com" <minx@usersite.com>" by rule 1

The message above tells me where the message came from, who sent it from my server, the user and the path it was called from. It also tells me how it was called and what it was renamed to before leaving my server.

The message below, tells me an incoming msg arrived with the subject line = "Naked Newsreaders? OH YEAH!". Very helpful in determining spam!!!!! You will see many other messages in exim_mainlog that you didnt see before. Great for debugging your msg logs and catching spammers!!

EG: 19W0bO-0001cY-Ej <= jessica@stripdownnews.com H=(one) [128.121.247.84]:52087 I=[64.246.38.122]:25 P=smtp S=2387 T="Naked Newsreaders? OH YEAH!" from jessica@stripdownnews.com

Lets Begin!
Note to MailScanner users: you must also do this to exim_config, so repeat these steps for both: exim.conf and exim_outgoing.conf

1. Open exim.conf
pico /etc/exim.conf

2) Find this;
Ctrl + W: hostlist auth_relay_hosts = *

#########################
Runtime configuration file for Exim #
#########################

3) After hostlist auth_relay_hosts = *

add the following

log_selector = +address_rewrite +all_parents +arguments +connection_reject +delay_delivery +delivery_size +dnslist_defer +incoming_interface +incoming_port +lost_incoming_connection +queue_run +received_sender +received_recipients +retry_defer +sender_on_delivery +size_reject +skip_delivery +smtp_confirmation +smtp_connection +smtp_protocol_error +smtp_syntax_error +subject +tls_cipher +tls_peerdn


4) The final result should look like this

hostlist auth_relay_hosts = *

log_selector = +address_rewrite +all_parents +arguments +connection_reject +delay_delivery +delivery_size +dnslist_defer +incoming_interface +incoming_port +lost_incoming_connection +queue_run +received_sender +received_recipients +retry_defer +sender_on_delivery +size_reject +skip_delivery +smtp_confirmation +smtp_connection +smtp_protocol_error +smtp_syntax_error +subject +tls_cipher +tls_peerdn

#######################################
# Runtime configuration file for Exim #
#######################################

5) Save and restart exim DONE!
ctrl + X then Y
/etc/init.d/exim restart

Now tail your log and watch the show!
tail -f /var/log/exim_mainlog

WARNING CPANEL USERS:
Cpanel/WHM updates will over-ride these changes. You can prevent Cpanel from deleting your changes by doing the following

chattr +i /etc/exim.conf