Antrian email tidak wajar


Status
Not open for further replies.
dhyhost

dhyhost

Web Hosting Service
The Warrior
Verified Provider
yg sebelah kanan itu kan email tujuan
coba dicek isi pesannya, bounce dari luar atau dari dalam..
 
GPLHosting

GPLHosting

Hosting Guru
case TS bisa banyak kemungkinan. solusi expert2 diatas bisa jadi adalah salahsatunya.

hanya saja, saya ada analisa lain, yaitu user "meulaboh" sudah tercompromised (jebol) passwordnya oleh kemungkinan brute-force attack. bisa jadi juga karena passwordnya mudah.

mungkin bisa diubah dulu passwordnya dengan yg lebih susah, lalu informasikan ke usernya utk segera merubah passwordnya dengan yg jauh lebih sulit. CMIIW.
 
luxius99

luxius99

Poster 2.0
hmm masalah email spamming memang bikin pusing dan tekniknya aneka ragam, secara umum lakukan hal ini :
- ganti password cpanel
- ganti password email yang digunakan spamming
- cek log exim untuk source script (umumnya ada script yg diinject ke dalam)
- cek pearl script
- terbaru malware load kememory trus walau script udah dihapus tetap aja masih spamming sampai server restart baru stop (ini yg terakhir saya alami, bikin pusing)
- cek security email di whm

Semoga membantu
 
shara nurul

shara nurul

Apprentice 1.0
Bestariweb Hosting said:
- disable mail() di semua php.ini
- disable user.ini
- reject semua non auth smtp

selain itu, fungsi exec juga harus di disable.. sebab walau mail di disable, kalau exec masih berfungsi, mallware masih bisa mengirim email via shell sendmail
Click to expand...


Baik mas akan saya coba dulu
Bestariweb Hosting said:
- disable mail() di semua php.ini
- disable user.ini
- reject semua non auth smtp

selain itu, fungsi exec juga harus di disable.. sebab walau mail di disable, kalau exec masih berfungsi, mallware masih bisa mengirim email via shell sendmail
Click to expand...


reject semua non auth smtp ini caranya gimana ya mas
 
shara nurul

shara nurul

Apprentice 1.0
GPLHosting said:
case TS bisa banyak kemungkinan. solusi expert2 diatas bisa jadi adalah salahsatunya.

hanya saja, saya ada analisa lain, yaitu user "meulaboh" sudah tercompromised (jebol) passwordnya oleh kemungkinan brute-force attack. bisa jadi juga karena passwordnya mudah.

mungkin bisa diubah dulu passwordnya dengan yg lebih susah, lalu informasikan ke usernya utk segera merubah passwordnya dengan yg jauh lebih sulit. CMIIW.
Click to expand...

sudah ganti password berulang kali mas ,tetep saja jebol
 
shara nurul

shara nurul

Apprentice 1.0
vishualhost said:
Case seperti ini biasanya dari script user yg sudah ke infect malware .

Jadi dia kirim fake mail sender seolah2 dari domain yg lain .

Cek mail header dan cari induknya
Kemudian buka ssh dan masuk ke induk yg sudah ditemukan tadi ,dan lakukan search pada access_log user tersebut buat memastikan akses file apa saja yg sudah di infect.

Setelah itu coba cari sample 1 file yg didapat dr access_log td dan lakukan copy pada baris yg mencurigakan seperti misal base64 encode file.

Buka ssh masuk ke akun td dan lakukan find dan grep dengan pastekan hasil copyan baris encode file td buat nyari dimana saja file2 yg lain berada .

Buat auto clean atau hapus setelah find bisa pakai sed atau mungkin exec rm apabila malware ini berupa single file dan bukan sisipan ke file lain.
Click to expand...

baik mas ini sedang saya coba utak atik

pusing juga yach :(
 
Status
Not open for further replies.

Top