Meu servidor está sendo utilizado para spam através do exim4

willymagrini
(usa Ubuntu)

Enviado em 26/12/2018 - 21:49h

Tenho um servidor dedicado utilizando ubuntu e vestacp na Kimsufi. a porta 25 foi bloqueada por motivos de spam. Estou tentando descobrir qual script esta adicionando os emails na fila do exim4 mas não consigo. Já suspendi todos os usuários pelo vestacp e mesmo assim continua acontecendo. Um exemplo de email, quando utilizo o comando exim -Mvh obtenho:

1gcGuH-00074u-5n-H

Debian-exim 114 119

<>

1545860401 0

-ident Debian-exim

-received_protocol local

-body_linecount 752

-max_received_linelength 646

-allow_unqualified_recipient

-allow_unqualified_sender

-frozen 1545860443

-localerror

XX

1

4simpson@downtownslo.com



157P Received: from Debian-exim by meuservidor with local (Exim 4.86_2)

    id 1gcGuH-00074u-5n

    for 4simpson@downtownslo.com; Wed, 26 Dec 2018 22:40:01 +0100

038  X-Failed-Recipients: d.boonenn@web.de

029  Auto-Submitted: auto-replied

061F From: Mail Delivery System <Mailer-Daemon@meuservidor>

029T To: 4simpson@downtownslo.com

100  Content-Type: multipart/report; report-type=delivery-status; boundary=1545860400-eximdsn-1002987570

018  MIME-Version: 1.0

059  Subject: Mail delivery failed: returning message to sender

050I Message-Id: <E1gcGuH-00074u-5n@meuservidor>

038  Date: Wed, 26 Dec 2018 22:40:01 +0100 

e quando utilizo o comando exim -Mvl obtenho:

2018-12-26 22:40:01 Received from <> R=1gc4Yr-0003Ih-UR U=Debian-exim P=local S=27924

2018-12-26 22:40:43 H=cpanel03.digitalwest.net [72.29.175.236] SMTP error from remote mail server after RCPT TO:<4simpson@downtownslo.com>: 550 No Such User Here"

2018-12-26 22:40:43 4simpson@downtownslo.com R=dnslookup T=remote_smtp H=cpanel03.digitalwest.net [72.29.175.236] X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 CV=yes: SMTP error from remote mail server after RCPT TO:<4simpson@downtownslo.com>: 550 No Such User Here"

*** Frozen (delivery error message) 

Como posso descobrir qual o script malicioso?

StanislausK
(usa FreeBSD)

Enviado em 26/12/2018 - 22:49h

Ola,

espero que alguma dessas dicas possa te ajudar:

How to Find a spam script location with Exim
https://www.inmotionhosting.com/support/email/exim/find-spam-script-location-with-exim

How to find spam email sending script on server
https://serverfault.com/questions/717323/how-to-find-spam-email-sending-script-on-server

Lembrando que a sua versão (Exim 4.86_2?) está obsoleta! A versão atual é 4.91 (atualize o quanto antes!). Já há relatos de problemas em versões mais recentes que a sua:

https://www.exim.org/static/doc/security/

Para o download da versão atual:

https://www.exim.org/mirrors.html

willymagrini
(usa Ubuntu)

Enviado em 27/12/2018 - 01:37h

Olá Stanislaus K,
Muito obrigado por responder tão prontamente.
Acho que não coloquei uma informação relevante no tópico, estou utilizando o Vesta CP.
Não sei se é por isso ou pela versão do Exim mas o arquivo do log é outro, /var/log/exim4/mainlog.
O primeiro link que você mandou eu já tinha visto mas no mainlog não existe informação nenhuma sobre qualquer arquivo .php. Não sei se isso significa que estão utilizando o servidor como relay ou se ele simplesmente não está guardando essa informação no log.
Olhando as informações do segundo link tentei identificar através dos logs de acesso mas são muitos arquivos ( o vesta separa os logs de acesso por domínio) e mesmo verificando os mais recentes não consegui obter respostas.
Vou tentar atualizar o exim manualmente, tentei pelo apt-get upgrade mas ele não atualiza.

willymagrini
(usa Ubuntu)

Enviado em 04/01/2019 - 15:35h

Só para fechar aqui.
Não consegui descobrir exatamente qual script adicionava os email na fila mas apaguei o usuário que certamente continha scripts maliciosos no Wordpress e apaguei todos os emails da fila e isso parece ter resolvido o problema.