Cara menemukan User yang melakukan spamming di Cpanel Server

ms_spammer

 

Di dunia ini nggak ada yang suka spammer. Apalagi seperti saya yang mengelola bisnis web hosting. Semakin banyaknya user yang melakukan spamming. Ntar saya jabarkan dulu apa itu spamming biar nggak mumet kalo baca artikel saya šŸ™‚

Spam :

Spam adalah penggunaan perangkat elektronik untuk mengirimkan pesan secara bertubi-tubi tanpa dikehendaki oleh penerimanya. Orang yang melakukan spam disebut spammer. Tindakan spam dikenal dengan nama spamming

Bentuk spam yang dikenal secara umum meliputiĀ : spam surat elektronik, spam pesan instan, spam Usenet newsgroup, spam mesin pencari informasi web (web search engine spam), spam blog, spam wiki, spam iklan baris daring, spam jejaring sosial.

SumberĀ :Ā https://id.wikipedia.org/wiki/Spam

 

Nah kalo dalam web hosting kita jangan beranggapan bahwa semuanya di sengaja oleh user untuk melakukan spam, jawabannya bisa iya bisa tidak lho.

Real Spammer : dia akan berusaha menggunakan tanggan dan teknologi yang dia miliki untuk mengirim email sebanyak-banyaknya dengan tujuan : promosi,mencari traffic link, dan kegiatan phising/fraud untuk mencuri data customer bila sebuah link di klik di dalam email.

Passive Spammer : dia memiliki website namun scriptnya ( meliputi plugin, modul, themes, atau script utama ) memiliki security hole, bisa karena plugin yang sudah vuln –> istilah kerennya Zero Day, dimana plugin ini sudah tidak layak untuk di pakai karena sudah di berhasil di bobol dan oleh developernya tidak di perbaiki.

Nah yang saya bicarakan di posting ini adalah yg terakhir ya , Passive Spammer, biasanya kita memang tidak mengetahui kalo web kita di inject dan digunakan untuk melakukan pengiriman email dalam jumlah banyak sehingga mengakibatkan :

1. Ip Server Hosting kita di blacklist oleh Anti Spam Provider, akibatnya , kita tidak bisa mengirim email ke provider terkenal seperti yahoo, google, live dsb. Akibatnya traffic email kita akan terganggu.

2. Mendapatkan abuse report dari Data Center dan harus resolve dalam waktu 2x 24 jam, bila tidak di fix, server akan di shutdown, bahkan beberapa provider di luar justru memberlakukan denda yang tidak murah sekitar $500 sebagai denda per 1x kejadian wow… jangan kaget ya. Itulah sebabnya bila account anda melakukan spamming, provider hosting akan suspend account anda sampai anda bisa memperbaikinya.

Solusi Untuk user :

Dari sisi user, mungkin anda tidak mengetahui dan tidak sengaja, namun term of service sebuah layanan web hosting intinya adalah sama, segala kegiatan spamming adalah melanggar kesepakatan layanan, dan user bertanggung jawab penuh terhadap keamanan website masing2.

Segera cek script version anda, plugin, module dan themes, gunakan versi terbaru, bila tidak tersedia ya lebih baik di hapus saja dari pada membuat masalah nantinya.

Solusi untuk sysadmin/hoster :

Bila anda memiliki server dengan cpanel terinstall di dalamnya, anda bisa mencari siapa user yang telah melakukan spamming dengan cara :

Login ke SSH anda

Jalankan command ini di Putty SSH anda :

root@victory [~]# egrep -o “A=dovecot_login:[^ ]+ ” /var/log/exim_mainlog | sort | uniq -c | sort -n

Hasil :

1 A=dovecot_login:a@domainuser.com
1 A=dovecot_login:dotsw@domainuser.com
1 A=dovecot_login:dwihma@domainuser.com
983 A=dovecot_login:arimanan@domainuser.com

Nah silahkan cek paling bawah, artinya userĀ arimanan@domainuser.com mengirimkan 983 email dalam 1 waktu, hal ini sangat mencurigakan, krn tidak wajar 1 email mengirimkan 983 email dalam 1 jam.

 

Ok sekarang kita cari tau, dari ip mana yang melakukan eksekusi email tersebut dengan command :

egrep “A=dovecot_login:arimanan@domainuser.com” /var/log/exim_mainlog | awk ‘{ print $8 }’ | cut -d : -f1 | sort | uniq -c | sort -n

Hasil :

977 [171.100.11.201]

 

Di atas sudah terlihat Ip spammer yang melakukan eksekusi proses pengiriman email masalnya.

 

Untuk mengetahui subject email nya apa yang di kirim oleh spammer tersebut , lakukan command ini :

egrep “A=dovecot_login:aristumanan@ptbarata.com” /var/log/exim_mainlog | egrep -o “T=\”[^\”]+\”” | sort | uniq

Hasil :

T=”Re: Change of Accounts”

 

Dengan demikian kita mengetahui hal-hal sbb :

1. User yang melakukan spamming

2. Ip pelaku

3. Subject/ Judul email yang dikirimkan

 

Bila di server anda terdapat spammer, segera lakukan hal-hal sbb :

1. Informasikan ke customer anda

2. Ganti Password Cpanel

3. Ganti Password email

4. Minta customer anda untuk optimasi security web nya

 

selama mencoba šŸ™‚

 

 

 

Comment