Antrian email tidak wajar

[dhyhost]

yg sebelah kanan itu kan email tujuan
coba dicek isi pesannya, bounce dari luar atau dari dalam..

 

[shara nurul]

- disable mail() di semua php.ini
- disable user.ini
- reject semua non auth smtp

selain itu, fungsi exec juga harus di disable.. sebab walau mail di disable, kalau exec masih berfungsi, mallware masih bisa mengirim email via shell sendmail

Baik mas akan saya coba dulu

 

[GPLHosting]

case TS bisa banyak kemungkinan. solusi expert2 diatas bisa jadi adalah salahsatunya.

hanya saja, saya ada analisa lain, yaitu user "meulaboh" sudah tercompromised (jebol) passwordnya oleh kemungkinan brute-force attack. bisa jadi juga karena passwordnya mudah.

mungkin bisa diubah dulu passwordnya dengan yg lebih susah, lalu informasikan ke usernya utk segera merubah passwordnya dengan yg jauh lebih sulit. CMIIW.

 

[luxius99]

hmm masalah email spamming memang bikin pusing dan tekniknya aneka ragam, secara umum lakukan hal ini :
- ganti password cpanel
- ganti password email yang digunakan spamming
- cek log exim untuk source script (umumnya ada script yg diinject ke dalam)
- cek pearl script
- terbaru malware load kememory trus walau script udah dihapus tetap aja masih spamming sampai server restart baru stop (ini yg terakhir saya alami, bikin pusing)
- cek security email di whm

Semoga membantu

 

[shara nurul]

- disable mail() di semua php.ini
- disable user.ini
- reject semua non auth smtp

selain itu, fungsi exec juga harus di disable.. sebab walau mail di disable, kalau exec masih berfungsi, mallware masih bisa mengirim email via shell sendmail

Baik mas akan saya coba dulu

- disable mail() di semua php.ini
- disable user.ini
- reject semua non auth smtp

selain itu, fungsi exec juga harus di disable.. sebab walau mail di disable, kalau exec masih berfungsi, mallware masih bisa mengirim email via shell sendmail

reject semua non auth smtp ini caranya gimana ya mas

 

[shara nurul]

case TS bisa banyak kemungkinan. solusi expert2 diatas bisa jadi adalah salahsatunya.

hanya saja, saya ada analisa lain, yaitu user "meulaboh" sudah tercompromised (jebol) passwordnya oleh kemungkinan brute-force attack. bisa jadi juga karena passwordnya mudah.

mungkin bisa diubah dulu passwordnya dengan yg lebih susah, lalu informasikan ke usernya utk segera merubah passwordnya dengan yg jauh lebih sulit. CMIIW.

sudah ganti password berulang kali mas ,tetep saja jebol

 

[shara nurul]

Case seperti ini biasanya dari script user yg sudah ke infect malware .

Jadi dia kirim fake mail sender seolah2 dari domain yg lain .

Cek mail header dan cari induknya
Kemudian buka ssh dan masuk ke induk yg sudah ditemukan tadi ,dan lakukan search pada access_log user tersebut buat memastikan akses file apa saja yg sudah di infect.

Setelah itu coba cari sample 1 file yg didapat dr access_log td dan lakukan copy pada baris yg mencurigakan seperti misal base64 encode file.

Buka ssh masuk ke akun td dan lakukan find dan grep dengan pastekan hasil copyan baris encode file td buat nyari dimana saja file2 yg lain berada .

Buat auto clean atau hapus setelah find bisa pakai sed atau mungkin exec rm apabila malware ini berupa single file dan bukan sisipan ke file lain.

baik mas ini sedang saya coba utak atik

pusing juga yach

 

[natanetwork]

reject semua non auth smtp ini caranya gimana ya mas

hehe smtp restriction di enable saja

 

[shara nurul]

hehe smtp restriction di enable saja

udah mas hendra ,spamnya masih running

 

[natanetwork]

ga masuk ke email queue emangnya? kalo tau dari user yg mana tinggal di suspend saja pak