Ở bài hướng dẫn trước mình đã hướng dẫn các bạn cách hạn chế SPAM mail, đối với bài viết này thì dành cho các bạn khi biết server của mình bị SPAM mail, và muốn tìm hiểu kỹ hơn để phòng chóng cũng như tìm hiểu nguyên nhân và cách hoạt động mà các hacker chèn file script vào source code của bạn.

Cách phát hiện SPAM mail và khắc phục trên Mail Exim

Cách nhận biết thường là server hoạt động chậm, tốn ram, cpu, và dung lượng.

Bạn có thể tham khảo cách hạn chế SPAM mail trên Directadmin tại đây : Hướng dẫn hạn chế SPAM mail

 

Hướng dẫn



Bước 1: Kiểm tra lượng mail đang gửi



exim -bpc

Bước 2: Bật chức năng mail.add_x_header



Tìm file php.ini



php -i | grep php.ini



Thay đổi 2 dòng sau :



mail.add_x_header = On

mail.log = /var/log/phpmail.log

Bước 3: Tìm ID mail SPAM



exim -bp

Note : Phần được gạch đỏ là phần ID của mail



Bước 4: Kiểm tra mail có chứa script mã độc



Lấy ví dụ 1 ID : 1Yj7DK-0003ER-Go



exim –Mvh 1Yj7DK-0003ER-Go



-> Tìm được file có tên : .ajax66.php

Như vậy là ta đã tìm ra được file mà hacker đã đưa vào source code của bạn thông qua các tool, plugin, hay thậm chí source code mà bạn download về và tin tưởng nó là source sạch. Và vô vàn cách mà hacker có thể đưa mã độc lên source code của bạn.



Bước 5: Xóa toàn bộ mail queue



Xóa toàn bộ mail:



exim -bp | awk ‘/^ *[0-9]+[mhd]/{print “exim -Mrm ” $3}’ | bash

Xóa những mail bị treo:



exim -bpr | grep frozen | awk {‘print $3’} | xargs exim -Mrm

Bước 6: Sau khi biết được file có chứa mã độc, thực hiện cách ly



Tìm kiếm file trên bằng lệnh sau :



find /* -type f -name “.ajax66.php”

Bước 7: Vô hiệu hóa file trên



chmod 000 .ajax66.php



Bước 8: Cài đặt các phần mềm diệt virus và malware để scan mã độc và virus



Phần mềm 1: clamav

Phần mềm 2: Malware detect

Phần mềm 3:  rootkit hunter



Bước 9: Thay đổi password từ root đến user



Password dài trên 8 ký tự, có ký tự hoa, ký tự thường, ký tự số và ký tự đặt biệt



Bước 10 : Kiểm tra lại việc SPAM mail



exim -bpc