spam adalah penggunaan perangkat elektronik untuk mengirimkan pesan secara bertubi-tubi tanpa dikehendaki oleh penerimanya. Orang yang melakukan spam disebut spammer. berikut ini adalah Tips Mencari Spam Pada Exim cPanel yang saya kembangkan sesuai artikel sebelumnya yang berjudul bagaimana mencari penyebab spam pada exim

Tips Mencari Spam Pada Exim cPanel

kali saya akan berbagi kembali cara mencari spammer yang akhir-akhir mengganggu pikiran saya 😀

  1. Mencari Top 5 users yang mengirim banyak email
  2. grep "<=.*P=local" /var/log/exim_mainlog | awk '{print $6}' | sort | uniq -c | sort -nr | head -5
    
    eximstats /var/log/exim_mainlog | grep -A7 "Top 50 local senders by message count" | tail -5 | awk '{print $1,$NF}'
    
  3. Sebagian besar server, default port SMTP adalah 25.
  4. Jika kita mengetahui port SMTP, kita bisa melacak alamat IP spammer menggunakan perintah berikut.

    netstat -plan |grep :25 | awk '{print $5}' |cut -d: -f1 |sort |uniq -c |sort -n
    
  5. Jika anda tidak yakin berapa port SMTP server yang anda miliki.
  6. anda bisa mengeceknya dengan menggunakan perintah

    cat /etc/services | grep smtp
    
  7. Mencari Top 5 penerima email:
  8. egrep "(=>.*T=virtual_userdelivery|=>.*T=local_delivery)" /var/log/exim_mainlog | awk '{print $7}' | sort | uniq -c | sort -nr | head -5 
    
    eximstats /var/log/exim_mainlog | grep -A7 "Top 50 local destinations by message count" | tail -5 | awk '{print $1,$NF}'
    
  9. untuk memeriksa Script dalam suatu folder yg melakukan aktifitas spamming
  10. awk '{ if ($0 ~ "cwd" && $0 ~ "home") {print $3} }' /var/log/exim_mainlog | sort | uniq -c | sort -nk 1
    
     
    awk '{ if ($0 ~ "cwd" && $0 ~ "home") {print $4} }' /var/log/exim_mainlog | sort | uniq -c | sort -nk 1
    
    Jika ditemukan hits IP yang banyak, silahkan blok IP tersebut
    tail -n1000 /var/log/exim_mainlog |grep SMTP|cut -d[ -f2|cut -d] -f1|sort -n |uniq -c
    
  11. script berikut akan memberikan ringkasan mail dalam antrian email
  12. exim -bpr | exiqsumm -c | head
    
  13. perintah berikut akan menunjukkan jumlah email maksimal saat ini
  14. exim -bpr | grep "<*@*>" | awk '{print $4}'|grep -v "<>" | sort | uniq -c | sort -n
    
  15. perintah dibawah ini akan menampilkan banyaknya email antrian (domain/ angka)
  16. exim -bpr | grep "<*@*>" | awk '{print $4}'|grep -v "<>" |awk -F "@" '{ print $2}' | sort | uniq -c | sort -n
    
  17. perintah berikut untuk mengetahui script mana yang digunakan untuk mengirim surat
  18. ps -C exim -fH eww
    ps -C exim -fH eww | grep home
    cd /var/spool/exim/input/
    egrep "X-PHP-Script" * -R
    
  19. Jika kita perlu mencari tahu persis dimana script spamming
  20. Berikut Script akan menunjukkan script spamming saat berjalan sekarang.
    contoh:

    # ps auxwwwe | grep  | grep --color=always "" | head
    

    useful script:

    # ps auxwwwe | grep test8 | grep --color=always "/home/test8/public_html/wp-content/themes/magazine" | head
    
  21. perintah untuk menghapus email yang menyangkut (frozen email)
  22. exim -bp | awk '$6~"frozen" {print $3 }' | xargs exim -Mrm
    
  23. jika ada yang spamming dari folder /tmp
  24. tail -f /var/log/exim_mainlog | grep /tmp
    
  25. untuk memunculkan IP dan jumlah email yang sudah dicoba yang melakukan aktifitas mengirim mail tetapi ditolak (rejected) oleh server
  26. tail -3000 /var/log/exim_mainlog |grep 'rejected RCPT' |awk '{print$4}'|awk -F\[ '{print $2} '|awk -F\] '{print $1} '|sort | uniq -c | sort -k 1 -nr | head -n 5
  27. menampilkan beberapa IP yang melakukan koneksi dari IP tertentu ke SMTP server
  28. netstat -plan|grep :25|awk {‘print $5′}|cut -d: -f 1|sort|uniq -c|sort -nk 1
    
  29. untuk menampilkan nama domain dan jumlah email dalam antrian
  30. exim -bp | exiqsumm | more
    
  31. apabila terjadi spamming dari domain luar, anda dapat memblokir domain atau email tersebut pada server
  32. pico /etc/antivirus.exim
    

    tambahkan script berikut:

    if $header_from: contains “name@domain.com” then seen finish endif
    

Cara Menangkap Spammer

Periksa statistik mail

exim -bp | exiqsumm | more

memeriksa apabila terdapat script php menyebabkan pengiriman email massal (mass email)

cd /var/spool/exim/inputegrep “X-PHP-Script” * -R

Selamat mencoba artikel Tips Mencari Spam Pada Exim cPanel 🙂