Untuk mendapatkan daftar diurutkan dari email pengirim di exim antrian mail. Ini akan menunjukkan jumlah mail dikirim oleh masing-masing.
|
1 |
exim -bpr | grep "<" | awk {'print $4'} | cut -d "<" -f 2 | cut -d ">" -f 1 | sort -n | uniq -c | sort -n |
Anda akan mendapatkan hasil sebagai berikut sepert :
1 arun@testdomain.com
2 sales@test1domain.com
3 sandy@test123.com
4 root@testdomain.co.in
29 admin@testdomain.in
124 arun@test123domain.com
Script berikut akan memeriksa scritpt yang akan berasal spam mail:
|
1 |
grep "cwd=/home" /var/log/exim_mainlog | awk '{for(i=1;i<=10;i++){print $i}}' | sort | uniq -c | grep cwd | sort -n |
|
1 |
awk '{ if ($0 ~ "cwd" && $0 ~ "home") {print $3} }' /var/log/exim_mainlog | sort | uniq -c | sort -nk 1 |
|
1 |
grep 'cwd=/home' /var/log/exim_mainlog | awk '{print $3}' | cut -d / -f 3 | sort -bg | uniq -c | sort -bg |
Anda akan mendapatkan hasil sebagai berikut seperti untuk dua script pertama. Script ketiga adalah hanya sub dari dua script pertama.
9 cwd=/home/test1/public_html
10 cwd=/home/test2/public_html/a1/www
15 cwd=/home/test3/public_html
91 cwd=/home/test4/public_html
178 cwd=/home/test5/public_html/web
770 cwd=/home/test6/public_html/foro
803 cwd=/home/test7/public_html/web
124348 cwd=/home/test8/public_html/wp/wp-content/themes/twentyeleven
Jika kita perlu mencari tahu yang sebenarnya spamming script . Berikut script akan menunjukkan script spamming saat berjalan sekarang. script berikut akan membantu Anda dalam semua saat mail server. Ini akan membantu Anda untuk menemukan script yang tepat yang mengirim mail.
|
1 |
ps auxwwwe | grep <user> | grep --color=always "<location of script>" | head |
Penggunaan script di atas seperti yang ditunjukkan di bawah ini.
ps auxwwwe | grep test8 | grep –color=always “/home/test8/public_html/wp/wp-content/themes/twentyeleven” | head
Setelah Anda menemukan file yang tepat, script berikut akan membantu Anda untuk menemukan alamat IP yang bertanggung jawab untuk spamming. Anda akan mendapatkan daftar IP dari script berikut. Alamat IP yang memiliki jumlah tinggi akses paling mungkin menyebabkan spamming. Anda dapat memblokir alamat IP di CSF atau firewall APF.
|
1 |
grep "<script_name>" /home/user/access-logs/testdomain.com | awk '{print $1}' | sort -n | uniq -c | sort -n |
Perintah berikut yang akan menunjukkan script yang menggunakan script untuk mengirim email. Jika dari php
|
1 |
egrep -R "X-PHP-Script" /var/spool/exim/input/* |
untuk Ini menunjukkan 50 domain menggunakan server mail
|
1 |
eximstats -ne -nr /var/log/exim_mainlog |
Hal ini menunjukkan dari mana pengguna account, sehingga Anda dapat dengan mudah melacak dan memblokir
|
1 |
ps -C exim -fH ewww | grep home |
Ini menunjukkan IP yang terhubung ke server melalui port nomor 25. Ini satu tertentu Ip menggunakan lebih dari 10 koneksi Anda dapat memblokir itu di firewall server
|
1 |
netstat -plan | grep :25 | awk {'print $5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1 |
Dalam rangka untuk mencari “nobody” spamming, issue the following command
|
1 |
ps -C exim -fH ewww | awk '{for(i=1;i<=40;i++){print $i}}' | sort | uniq -c | grep PWD | sort -n |
Ini akan memberikan beberapa hasil seperti:
Example :
6 PWD=/
347 PWD=/home/sample/public_html/test
Count the PWD and if it is a large value check the files in the directory listed in PWD
(Ignore if it is / or /var/spool/mail /var/spool/exim)
Perintah di atas hanya berlaku jika spamming yang sedang berlangsung. Jika spamming telah terjadi beberapa jam sebelumnya, gunakan perintah berikut.
|
1 |
grep "cwd=" /var/log/exim_mainlog | awk '{for(i=1;i<=10;i++){print $i}}' | sort | uniq -c | grep cwd | sort -n |
script berikut akan memberikan ringkasan mail dalam antrian mail.
|
1 |
exim -bpr | exiqsumm -c | head |
Anda akan mendapatkan hasil sebagai berikut seperti,
Count Volume Oldest Newest Domain
—– —— —— —— ——
114 171KB 24h 28m testdomain.com
15 28KB 36h 7m gmail.com
5 10KB 34h 10h test2domain.com
4 8192 27h 4h yourdomain.com
4 75KB 7m 7m server.domain.com
3 6041 23h 42m test123.com