Antrian email tidak wajar

[shara nurul]

Dear Para master DWH ,

Selamat siang

Beberapa hari ini antrian email di server saya melonjak tajam ,panel server menggunakan cpanel dan untuk monitoring emailnya pakai cmq ( ConfigServer Mail Queues).

Dan anehnya di antrian email tersebut ada beberapa domain yang tidak terdaftar di server saya.

servis php mail di server sudah saya disable namun masih saja tetap jalan ,

Berikut saya sertakan SS nya

Mohon pencerahannya ,maaf bisa bahasanya belepotan

Salam
Shara NUrul

 

[jaapns]

kemungkinan ya di inject di buat spamming ..

 

[pangeran1995]

mail php nya sudah disable ?

 

[shara nurul]

kemungkinan ya di inject di buat spamming ..

minta saran dan tips nya mas untuk mencari sumbernya , sudah muter muter cari referensi dan sudha di terapkan namun masih tetep jalan spamnya

 

[shara nurul]

mail php nya sudah disable ?

sudah saya disable mas , namun masih jalan spamnya

 

[mas.satriyo]

sudah saya disable mas , namun masih jalan spamnya

sudah disable fungsi mail() di semua alt-php (jika pakai cl) dan ea-php ?
sudah set limit mail per jam untuk tiap domain?

 

[shara nurul]

sudah disable fungsi mail() di semua alt-php (jika pakai cl) dan ea-php ?
sudah set limit mail per jam untuk tiap domain?

Untuk disable fungsi mailnya via multiphp ini editor yang ada di whm ,sedang kan jika dari CLnya sudah saya praktikan pakai turorial ini namun masih saja jebol http://blog.dhyhost.com/cpanelwhm/cara-menonaktifkan-disable-phpmail-akun-cpanel-dengan-cloudlinux/

Untuk limit mail perjamnya sudah saya set 1

 

[Bestariweb Hosting]

- disable mail() di semua php.ini
- disable user.ini
- reject semua non auth smtp

selain itu, fungsi exec juga harus di disable.. sebab walau mail di disable, kalau exec masih berfungsi, mallware masih bisa mengirim email via shell sendmail

 

[natanetwork]

coba cek smtp restriction nya..itu di enable aja..
trus juga perhatikan masalah email spoofing..
disable port 25.
yang lainnya bisa ikuti ini https://documentation.cpanel.net/display/CKB/How+to+Prevent+Email+Abuse

 

[IIXPLANET]

Case seperti ini biasanya dari script user yg sudah ke infect malware .

Jadi dia kirim fake mail sender seolah2 dari domain yg lain .

Cek mail header dan cari induknya
Kemudian buka ssh dan masuk ke induk yg sudah ditemukan tadi ,dan lakukan search pada access_log user tersebut buat memastikan akses file apa saja yg sudah di infect.

Setelah itu coba cari sample 1 file yg didapat dr access_log td dan lakukan copy pada baris yg mencurigakan seperti misal base64 encode file.

Buka ssh masuk ke akun td dan lakukan find dan grep dengan pastekan hasil copyan baris encode file td buat nyari dimana saja file2 yg lain berada .

Buat auto clean atau hapus setelah find bisa pakai sed atau mungkin exec rm apabila malware ini berupa single file dan bukan sisipan ke file lain.