Tips cPanel: Mencari sumber spam yang berasal dari skrip PHP

Salam sejutaumat, saya mencoba sharing kembali sedikit tips penanganan masalah spam di server cPanel. Masalah spam memang harus dianggap sebagai masalah serius, efek yang paling bikin kesal adalah potensi IP mailserver diblacklist oleh RBL egitu besar. Kalau sudah keblacklist, paling males request whitelist + menunggu kepastian kapan IP terlepas dari blacklist.

Salah satu sumber aktivitas spamming yang brutal adalah berasal dari skrip php, mulai dari skrip php mailer milik user yang disalahgunakan, sampai skrip PHP spam yang bener-bener jahat diupload ke server hosting oleh penyusup.

Nah berikut cara cepat untuk mencari asal spam yang berasal dari skrip php milik user di cPanel

File yang berisi log aktivitas transaksi email perlu diketahui untuk cPanel adalah /var/log/exim_mainlog

To the point aja, transaksi log pengiriman email yang berasal dari skrip PHP biasa tercatat seperti ini

2016-08-15 20:14:02 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc 1bZOGo-0007oO-6w

2016-08-15 20:14:02 cwd=/home/toko/public_html/wp-admin/css/colors 4 args: /usr/sbin/sendmail -t -i -fregina_johnston@tokoku.com

Nah kita bisa ambil keyword ‘cwd‘ untuk grep sekaligus menghitung jumlah transaksi pengiriman dari file log yang ada, berikut perintah bash yang bisa dipakai.

# grep -o ” cwd=[[:alnum:][:graph:]]*” /var/log/exim_mainlog | grep -v spool | sort | uniq -c | sort -rn | head

Hasilnya kira-kira seperti ini

126067  cwd=/home/toko/public_html/wp-admin/css/colors

23101  cwd=/home/toko/public_html/wp-includes/Text/Diff/Engine

5336  cwd=/

3681  cwd=/etc/csf

Nah ketahuan kan sekarang letak skrip yang patut dicurigai? Silahkan lanjut investigasi ke direktori bersangkutan, gak pake lama biasanya skrip spamming langsung ketauan wujudnya :)

Karakteristik konten skrip spamming biasanya terencode menggunakan base64, etc. Dengan mengenal karakteristiknya kita bisa lanjut mencari file-file berbahaya yang menggunakan encode ini.

Berikut perintah bash untuk mencari file yang mengandung unsur ‘eval*’

# find /home/toko/public_html/ -name ‘*.php’ | xargs grep ‘eval*’|less

Silahkan discroll terus per layar (menggunakan spasi) untuk mencari file-file yang mengandung perintah decode ‘eval*’

Demikian tips sederhana yang bisa saya share, semoga bermanfaat khususnya buat penjaga server :)

Ohya file yang sudah ketemu langsung dihapus atau dikarantina ya, jangan diliatin doank :D

This entry was posted in Hosting Stuff and tagged , , . Bookmark the permalink.

One Response to Tips cPanel: Mencari sumber spam yang berasal dari skrip PHP

  1. ht baofeng says:

    lumayan susah juga ya gan nyari skrip nyepam

Leave a Reply

Your email address will not be published. Required fields are marked *