{"id":270,"date":"2019-10-16T12:04:48","date_gmt":"2019-10-16T15:04:48","guid":{"rendered":"http:\/\/xaxowareti.com.br\/?p=270"},"modified":"2019-10-16T12:04:54","modified_gmt":"2019-10-16T15:04:54","slug":"postfix-como-identificar-um-script-php-enviando-spam","status":"publish","type":"post","link":"https:\/\/xaxowareti.com.br\/?p=270","title":{"rendered":"POSTFIX: COMO IDENTIFICAR UM SCRIPT PHP ENVIANDO SPAM."},"content":{"rendered":"\n
\"\"\/<\/a><\/figure>\n\n\n\n

Seu dom\u00ednio est\u00e1 hospedado em um servidor Linux usando o Postfix<\/strong>  para enviar emails e est\u00e1 na lista negra de spam<\/strong> ?<\/p>\n\n\n\n

Voc\u00ea provavelmente tem um script malicioso<\/strong>  enviando um grande n\u00famero de e-mails diretamente do servidor … bem, voc\u00ea pega o inimigo em casa!<\/p>\n\n\n\n

Se o seu daemon de e-mail de sa\u00edda (ou seja, o software usado para enviar e-mails) for o Postfix, voc\u00ea poder\u00e1 identificar a fonte de spam<\/strong> em apenas algumas etapas simples.<\/p>\n\n\n\n

resolu\u00e7\u00e3o do problema<\/strong> pode ser igualmente f\u00e1cil, embora na maioria dos casos precise de mais investiga\u00e7\u00f5es.<\/p>\n\n\n\n

Na verdade, \u00e9 necess\u00e1rio impedir que a situa\u00e7\u00e3o ocorra novamente, como se algu\u00e9m pudesse carregar um script no seu servidor, voc\u00ea pode ter alguma falha de seguran\u00e7a.<\/p>\n\n\n\n

A primeira coisa a fazer \u00e9 fazer logon no servidor de correio com um usu\u00e1rio com direitos administrativos<\/strong> (sudo) e verifique se o arquivo php.ini do seu dom\u00ednio (e \/ ou servidor global) cont\u00e9m a seguinte linha:<\/p>\n\n\n\n
mail.add_x_header = On<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

sem o qual o que faremos a seguir n\u00e3o produzir\u00e1 nenhum resultado \u00fatil.<\/p>\n\n\n\n

Uma vez verificado isso, voc\u00ea precisar\u00e1 inspecionar a fila de mensagens com o comando:<\/p>\n\n\n\n
mailq<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

Na primeira coluna, voc\u00ea ver\u00e1 o ID exclusivo de cada email de sa\u00edda, por exemplo:<\/p>\n\n\n\n
DA5E8647235C 369763 Wed Mar 29 16:30:19 someotheruser@someotherdomain.com<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n
(connect to somedomain.com[123.123.123.123]:25: Connection refused)<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n
someuser@somedomain.com<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

Uma vez identificado um desses e-mails que obviamente \u00e9 spam, examinaremos seus detalhes com o comando:<\/p>\n\n\n\n
postcat -q <ID><\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

e procuramos uma linha que comece com ” X-PHP-Originating-Script<\/strong> ” (presente gra\u00e7as \u00e0 linha php.ini mencionada acima).<\/p>\n\n\n\n

Por exemplo, usando grep para evitar a rolagem manual do conte\u00fado do email:<\/p>\n\n\n\n
postcat -q DA5E8647235C | grep X-PHP-Originating-Script<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

poder\u00edamos obter uma sa\u00edda como esta:<\/p>\n\n\n\n
X-PHP-Originating-Script: 45:badmailer.php<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

O n\u00famero 45 \u00e9 o UID, que \u00e9 o ID do usu\u00e1rio do Linux que executou o script, enquanto badmailer.php \u00e9 o script que est\u00e1 enviando emails de spam.<\/p>\n\n\n\n

Nesse ponto, basta localizar o arquivo badmailer.php, exclu\u00ed-lo ou limp\u00e1-lo e, acima de tudo, para entender como ele foi carregado no seu servidor e executado a partir da\u00ed.<\/p>\n\n\n\n

Se o seu cabe\u00e7alho n\u00e3o contiver a linha X-PHP-Originating-Script, provavelmente sua conta de email foi invadida e \u00e9 usada para “legitimamente” enviar spam do seu servidor. Nesse caso, identificou um email de sa\u00edda de spam, voc\u00ea deve iniciar o seguinte comando para ver qual conta foi usada para autentica\u00e7\u00e3o:<\/p>\n\n\n\n
postcat -q DA5E8647235C | grep sasl_username<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

Voc\u00ea obter\u00e1 uma sa\u00edda como esta:<\/p>\n\n\n\n
named_attribute: sasl_username=info@nullalo.com<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

No exemplo, voc\u00ea deve alterar imediatamente a senha da conta info@nullalo.com por uma senha mais forte (longa, com caracteres especiais, mai\u00fasculas e min\u00fasculas).<\/p>\n\n\n\n

Outra coisa que voc\u00ea pode fazer para conter o dano \u00e9 liberar sua fila de mensagens enviadas com o seguinte comando:<\/p>\n\n\n\n
postsuper -d ALL<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

Se, no entanto, e-mails importantes tamb\u00e9m estiverem na fila, al\u00e9m de e-mails com spam, voc\u00ea dever\u00e1 excluir os e-mails indesejados individualmente com o comando:<\/p>\n\n\n\n
postsuper -d <ID><\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

Portanto, no exemplo, lan\u00e7aremos o seguinte comando:<\/p>\n\n\n\n
postsuper -d DA5E8647235C<\/code><\/td><\/tr><\/tbody><\/table>\n\n\n\n

\u00c9 isso a\u00ed\u2026 se voc\u00ea tiver problemas, basta adicionar um coment\u00e1rio a este artigo e tentaremos ajud\u00e1-lo!<\/p>\n","protected":false},"excerpt":{"rendered":"

Seu dom\u00ednio est\u00e1 hospedado em um servidor Linux usando o Postfix  para enviar emails e est\u00e1 na lista negra de spam ? Voc\u00ea provavelmente tem um script malicioso  enviando um grande n\u00famero de e-mails diretamente do servidor … bem, voc\u00ea pega o inimigo em casa! Se o seu daemon de e-mail de sa\u00edda (ou seja, o software usado para enviar e-mails) […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-270","post","type-post","status-publish","format-standard","hentry","category-sem-categoria"],"_links":{"self":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts\/270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=270"}],"version-history":[{"count":1,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts\/270\/revisions"}],"predecessor-version":[{"id":271,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts\/270\/revisions\/271"}],"wp:attachment":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}