Cpanel là công cụ hoàn hảo cho việc bán hosting, nó cũng là đối tượng để attacker khai thác và sử dụng vào mục đích SPAM. Các PHP scripts rất hay được sử dụng do nó dễ viết và dễ thực hiện. Một khi điều này xảy, mail server sẽ nhanh chóng được để ý và nếu kéo dài, nó sẽ nằm gọn trọng Blacklist của các tổ chức, từ đó việc gửi mail là bất khả thi, ví dụ cụ thể nhất là nếu bị Google block thì chỉ có cách bán sới, bỏ IP đó đi thôi.
3TVN xin hướng dẫn cách thức để tìm và diệt những scipts độc hại này, tất nhiên là còn vô số cách khai thác khác mà một system admin luôn phải theo dõi để phòng chống. Đây là cách phổ biến thực hiện trên Cpanel server.
Trước tiên login vào Cpanel WHM và chọn
WHM > Exim Configuration Editor > Advanced Editor
tìm và thay thế
log_selector = +all
Restart services và ta đã có thể nhìn được đường dẫn của scripts (cwd) trong log của exim. Sau đó chạy lệnh:
grep cwd=/home /var/log/exim_mainlog
Và nếu được kết quả như này:
2015-04-03 03:59:02 [1234] cwd=/home/myserver/public_html 3 args: /usr/sbin/sendmail -t -i 2015-04-03 03:59:02 [1234] cwd=/home/myserver/public_html 3 args: /usr/sbin/sendmail -t -i
Thì sau đó vào thư mục đã xác định để tìm kiếm
cd /home/myserver/public_html egrep “/usr/sbin/sendmail” * -R
Loại bỏ các scripts vừa tìm được!
Một cách khác có thể dùng đến như sau
netstat -plan | grep 127.0.0.1
Nếu nhìn thấy như sau
tcp 0 0 127.0.0.1:12345 127.0.0.1:25 ESTABLISHED 12345/sshd: user tcp 0 0 127.0.0.1:12345 127.0.0.1:25 ESTABLISHED 12345/sshd: user
Thì ta sẽ sử dụng lệnh
lsof -p 12345
Lệnh này sẽ cho ra user và đường dẫn tới scripts mà user đó đang dùng, từ đó tìm và diệt những scripts độc hại!
Khi thuê VPS Cpanel ở 3TVN, những tính năng này sẽ được 3TVN setup sẵn để tạo điều kiện quản trị tốt nhất cho khách hàng. Nếu vẫn chưa thực hiện được, quý khách hãy gọi hotline 03 8587 0000 để chúng tôi trợ giúp nhanh nhất. 3TVN cam kết mang dịch vụ tốt nhất, giá trị nhất cho tất cả khách hàng đến với chúng tôi.