Schutz Ihres Servers vor Spamming
Spamming ist ein ernstes Problem für Ihr Unternehmen und kann Ihre Zeit und Ressourcen in Anspruch nehmen, um es zu beheben. Der beste Weg, dieses Problem zu lösen, ist natürlich, es gar nicht erst zu haben. Die beste Möglichkeit, Spam zu verhindern, besteht darin, sicherzustellen, dass alle CMS (wie WordPress, Joomla und Drupal) einschließlich Themen und Plugins auf Ihrem VPS-Server oder dedizierten Server auf dem neuesten Stand sind. Das mag zu einfach klingen, aber es gibt unzählige Fälle, in denen ein veraltetes Plugin es Hackern ermöglicht, eine ansonsten sichere Domain zu zerstören.
Eine weitere Möglichkeit, sich vor Spam zu schützen, besteht darin, starke Kennwörter durchzusetzen, indem Sie entweder manuell fragen oder eine Konfiguration festlegen, die Benutzer dazu zwingt, Groß- und Kleinbuchstaben, Symbole und eine Zahl in ihrem Kennwort zu verwenden. In WHM können Sie die Passwortstärke im Sicherheitscenter>> Konfiguration der Passwortstärke erzwingen . Hier können Sie von Benutzern verlangen, dass alle ihre cPanel-Passwörter mindestens eine bestimmte Stärke haben. 
Wenn Sie ein Liquid Web-Kunde sind, sollten Sie vielleicht unsere Serverschutzpakete in Betracht ziehen.
Aufspüren, wer spammt
Aber nehmen wir an, das Schlimmste ist bereits passiert. Wie finden Sie heraus, wer Spam versendet und wie der Spam gesendet wird?
Das erste Tool, das Sie haben, befindet sich in WHM unter E-Mail>> Mail Queue Manager . 
Mit Mail Queue Manager können Sie die E-Mail-Warteschlange sehen und erkennen, welche E-Mails gesendet werden. Sie werden versucht sein, alle Spam-E-Mails sofort zu löschen, aber warten Sie damit. Zuerst möchten Sie herausfinden, wer es sendet und welche Art von Spam vor sich geht:eine Passwortkompromittierung oder Skript-Spamming. Auch wenn es andere Arten von Spamming geben kann, sind dies die zwei wichtigsten Methoden, die wir in Bezug auf Spamming-Server sehen.
Zu Beginn sollten Sie über den Mail Queue Manager überprüfen, woher die E-Mails stammen. Sie sollten einen kleinen Zeitraum der letzten Zeit auswählen, um gesendete E-Mails zu überprüfen. Sobald Sie diese Ergebnisse haben, sollten Sie sich den Betreff der E-Mail ansehen. Fragen Sie sich:
- Klingt es nach Spam?
- An wen wird es gesendet?
- Kennen Sie den Empfänger?
Sobald Sie festgestellt haben, dass es sich bei der E-Mail um Spam handelt, sollten Sie sich die Kopfzeilen der E-Mail ansehen. Während die Überschriften verwirrend aussehen mögen, sind wir hier, um die wichtigen Teile aufzuschlüsseln:
Das Folgende ist ein Beispiel-Header dafür, wie eine Spam-E-Mail aussehen könnte:
1g8rz7-1001y8-3K-H username 609 500 <[email protected]> 1538853089 2 -received_time_usec .072187 -ident username -received_protocol local -body_linecount 241 -max_received_linelength 499 -auth_id username -auth_sender [email protected] -allow_unqualified_recipient -allow_unqualified_sender -local XX 1 [email protected] 209P Received: from username by domain.com with local (Exim 4.91) (envelope-from <[email protected]>) id 1g8rz7-0001y8-2K for [email protected]; Sat, 06 Oct 2018 15:11:29 -0400 030T To: [email protected] 033 Subject: NEW SUBJECT 058 X-PHP-Script: domain.com/index.php for xxx.xxx.xxx.xxx 050 X-PHP-Originating-Script: 609:class-phpmailer.php 037 Date: Sat, 6 Oct 2018 10:11:23 +0000 041F From: username <[email protected]> 035R Reply-To: [email protected] 063I Message-ID: <[email protected]> 068 X-Mailer: PHPMailer 5.2.22 (https://github.com/PHPMailer/PHPMailer) 018 MIME-Version: 1.0 039 Content-Type: text/html; charset=UTF-8
Die wichtigen Teile sind blau hervorgehoben:
-auth_id username -auth_sender [email protected]
und
058 X-PHP-Script: domain.com/index.php for xxx.xxx.xxx.xxx 050 X-PHP-Originating-Script: 609:class-phpmailer.php
Ein kompromittiertes E-Mail-Konto
Die ersten beiden hervorgehobenen Zeilen zeigen an, dass es über einen authentifizierten Absender „[email protected]“ gesendet wurde. Wenn auth_sender leer war, würden Sie zum nächsten Abschnitt Skript-Spamming springen . Wenn dies ausgefüllt ist, möchten Sie das Passwort für dieses E-Mail-Konto ändern. Sie sollten auch lokale Malware-Scans auf jedem Gerät ausführen, das Zugriff auf das E-Mail-Konto hat, da sie möglicherweise Malware auf ihrem Computer haben, die das Passwort gestohlen hat. Sobald dies abgeschlossen ist, können Sie mit dem nächsten Abschnitt namens Spam in der Warteschlange löschen fortfahren .
Skript-Spamming
Die Zeilen unten geben die Domain des Absenders an und dass ein Skript (class-phpmailer.php ) hat die E-Mail generiert.
058 X-PHP-Script: domain.com/index.php for xxx.xxx.xxx.xxx 050 X-PHP-Originating-Script: 609:class-phpmailer.php
Von diesem Punkt an sollten Sie das Skript finden, indem Sie im Dokumentenstammverzeichnis der Domain nach dem Dateinamen suchen.
Zuerst müssen Sie sich als root per SSH mit dem Server verbinden.
Um die Datei zu finden, führen Sie den folgenden Befehl aus und ersetzen „phpmailer.php ” durch den Namen des Skripts, das Sie gefunden haben, und fügen Sie den Dokumentenstamm für die Domain hinzu (normalerweise befindet sich dies unter /home/{username}/public_html ).
find /doc/root/for/the/domain -name “phpmailer.php” -type f
Sobald Sie den Speicherort der bösartigen Datei gefunden haben, sollten Sie ihn deaktivieren oder löschen. Um die Datei zu deaktivieren, führen Sie den folgenden Befehl aus.
Wichtig:Dies kann die Funktionalität der Website beeinträchtigen, verhindert jedoch das Spammen und ist wichtig, dass Sie dies tun, um zu verhindern, dass Ihre IP auf die schwarze Liste gesetzt wird.
chmod 000 /name/of/file/to/be/disabled
Sie sollten das Konto auch auf zusätzliche Malware überprüfen. Eines der besten Werkzeuge dafür ist Maldet. Hier ist der Link zur Überprüfung der Einrichtung des Maldet-Scanners.
Nachdem Sie die Software installiert und richtig konfiguriert haben, sollten Sie einen manuellen Scan eines Verzeichnisses durchführen. Dazu verbinden Sie sich per SSH mit dem Server und führen den folgenden Befehl aus, nachdem Sie ihn bearbeitet haben, um den tatsächlichen Dokumentenstamm der Domäne anzuzeigen (normalerweise befindet sich dieser unter /home/{username}/public_html ).
maldet -b -a /document/root/for/the/domain
Nachdem Sie dies getan haben, können Sie den Scan-Fortschritt überprüfen, indem Sie den folgenden Befehl ausführen
tail /usr/local/maldetect/event_log
Wenn der Vorgang abgeschlossen ist, können Sie den Bericht anzeigen, indem Sie Folgendes ausführen und dabei die x durch die Berichtsnummer ersetzen:
maldet --report xxxxx-xxxxx.xxxx
Von hier aus können Sie die Dateien wie zuvor einzeln deaktivieren:
chmod 000 /name/of/file/to/be/disabled
Spam in der Warteschlange löschen
Nachdem Sie das Spamming beendet haben, indem Sie entweder das Passwort für das Konto geändert oder das Spamming-Skript deaktiviert haben, sollten Sie die Warteschlange löschen. Das erste, was Sie tun müssen, ist, die Spam-E-Mails zu löschen. Sie sollten den folgenden Befehl verwenden, um potenziell spammende E-Mails zu löschen, die {email_address} ersetzen mit der Spam-E-Mail-Adresse oder der Domain, die die Spam-E-Mails gesendet hat.
Wichtig:Dadurch werden alle E-Mails gelöscht, die sich auf die E-Mail-Adresse oder Domäne beziehen.
grep -R --include='*-H' 'auth_id' /var/spool/exim/input | grep {email_address} | cut -d: -f1 | cut -d/ -f7 | cut -d- -f1-3 | xargs -n 1 exim -Mrm
Wenn Sie fertig sind, sollten Sie mit dem folgenden Befehl alle E-Mails löschen, die an den Server zurückgesendet wurden.
exim -bpr | grep '<>' | awk '{print $3}' | xargs -I % exim -Mrm %
Überwachen Sie schließlich den Server weiter, um sicherzustellen, dass es nicht zwei Spamming-Quellen gab, aber darüber hinaus haben Sie den Server erfolgreich vom Spamming abgehalten.