Author Topic: Setting IPTABLES dan tanya cara mengetahui akun spammer (Read 18364 times)

MRatWork · « **Reply #30 on:** 2015-05-02, 15:22:12 »

Oh ya, vps anda lokasinya dimana?. Jika di Indonesia maka kemungkinan memang sedang bermasalah.

redpages · « **Reply #31 on:** 2015-05-03, 02:37:00 »

iya. di IIX

MRatWork · « **Reply #32 on:** 2015-05-03, 02:51:44 »

Beberapa VM (saya pakai VirtualBox untuk buat VPS di rumah) saya gagal diupdate terus. Kelihatannya Speedy bermasalah dengan dns cache.

redpages · « **Reply #33 on:** 2015-05-05, 02:52:03 »

saya sudah grep mailog, hasilnya seperti ini :

Quote

[root@server50 ~]# cat /var/log/maillog|grep PWD
May 4 04:02:05 server50 logger: sendmail: CALLER="crond" PWD="/" BAN="no"
May 4 04:02:22 server50 logger: sendmail: CALLER="init [3]" PWD="/" BAN="no"
May 4 05:00:01 server50 logger: sendmail: CALLER="crond" PWD="/home/admin" BAN= "no"
May 4 15:22:18 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
May 4 15:22:18 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
May 5 00:40:07 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p enum/penumbuhrambutalami.com" BAN="no"
[root@server50 ~]# cat /var/log/maillog-1|grep PWD
Apr 27 04:02:17 server50 logger: sendmail: CALLER="crond" PWD="/" BAN="no"
Apr 27 04:03:48 server50 logger: sendmail: CALLER="init [3]" PWD="/" BAN="no"
Apr 27 05:00:02 server50 logger: sendmail: CALLER="crond" PWD="/home/admin" BAN= "no"
Apr 27 19:30:15 server50 smtp: 25544 < 1GxRO5l93RzQStPWDEpzaofSrATS0zH9RY7DxRyMa vBg1OUWZ/04wZefHynear5Ea+Q74shcNMwR?
Apr 27 19:35:16 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p eront/perontokbulu.org" BAN="no"
Apr 27 19:37:20 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/r ambut/penumbuhrambut.org" BAN="no"
Apr 27 19:39:13 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 27 19:43:41 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/w unders/wundersausage.com" BAN="no"
Apr 27 20:04:29 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p erawat1/perawatanrambut.net" BAN="no"
Apr 27 20:12:59 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/o batramb/obatrambut.net" BAN="no"
Apr 27 20:17:31 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p enum/penumbuhrambutalami.com" BAN="no"
Apr 27 20:17:57 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p enumb/penumbuhrambutcepat.com" BAN="no"
Apr 27 20:21:54 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/o batbota/obatbotak.com" BAN="no"
Apr 28 00:27:47 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/s usubsar/pembesarpayudara.org" BAN="no"
Apr 28 04:02:16 server50 logger: sendmail: CALLER="crond" PWD="/" BAN="no"
Apr 28 04:06:42 server50 logger: sendmail: CALLER="init [3]" PWD="/" BAN="no"
Apr 28 05:00:03 server50 logger: sendmail: CALLER="crond" PWD="/home/admin" BAN= "no"
Apr 28 05:10:43 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/w unders/wundersausage.com/wp-admin" BAN="no"
Apr 28 07:20:21 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 28 07:20:22 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 28 09:18:00 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p eluangs/peluangsukses.com" BAN="no"
Apr 28 14:53:18 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 28 14:53:18 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 28 15:50:31 server50 smtp: 30462 < 1GxRO5l93RzQStPWD+
Apr 28 18:40:27 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 28 18:40:28 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 29 01:18:17 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 29 01:18:17 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 29 04:02:14 server50 logger: sendmail: CALLER="crond" PWD="/" BAN="no"
Apr 29 04:04:52 server50 logger: sendmail: CALLER="init [3]" PWD="/" BAN="no"
Apr 29 05:00:02 server50 logger: sendmail: CALLER="crond" PWD="/home/admin" BAN= "no"
Apr 29 07:56:02 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"
Apr 29 07:56:02 server50 logger: sendmail: CALLER="/usr/sbin/httpd" PWD="/home/p numbuh/penumbuhrambut.net" BAN="no"

redpages · « **Reply #34 on:** 2015-05-19, 15:21:21 »

IP saya lainnya ada yg kena warning lagi soal spammer. Saya cek dengan perintah "cat /var/log/maillog|grep PWD" hasilnya seperti dalam attachment. Apakah dari situ terlihat akun mana yg jadi spamming?

Terima kasih atas pencerahannya

MRatWork · « **Reply #35 on:** 2015-05-19, 16:02:43 »

Spammer adalah gepa dan document rootnya adalah /home/gepa/gepa.alhikmahdua.net

Jika anda ingin hanya domainnya saja yang di-block masukkan /home/gepa/gepa.alhikmahdua.net tapi jika ingin usernya maka masukkan /home/gepa

redpages · « **Reply #36 on:** 2015-05-20, 16:22:31 »

menyimpulkan bahwa yg jadi spammer itu "gepa" dari baris mana ya? dan maksud dari block itu apakah disabled account?

Maaf saya newbie. terima kasih pencerahannya

MRatWork · « **Reply #37 on:** 2015-05-20, 16:53:28 »

Berdasarkan attachment anda terlihat banyak 'sendmail: CALLER="/usr/sbin/httpd.itk" PWD="/home/gepa/gepa.alhikmahdua.net" BAN="no"'. Kecurigaannya disini. Seberapa banyak sehingga 'dinyatakan' sebagai spammer ya tergantung masing-masing kita.

Jika anda 'beranggapan' (dari attachment) bahwa pengiriman email melalui sendmail (di php melalui fungsi mail()) terlihat pengiriman melalui '/home/gepa/gepa.alhikmahdua.net' (yang artinya document root dari website gepa.alhikmahdua.net) yang pemiliknya adalah gepa (sesuai dengan path /home/gepa).

redpages · « **Reply #38 on:** 2015-06-12, 17:52:39 »

Menyambung lagi untuk yg ini, apakah dari data di attachment yang menjadi tersangka adalah akun-akun sbb:
- geraican
- gepa
- alhikm
- elwaha

note: untuk akun gepa sebenarnya sudah disabled, tapi kenapa ya koq masih ada aktivitas sent mail?

Terima kasih atas pencerahannya

MRatWork · « **Reply #39 on:** 2015-06-12, 18:53:43 »

Yang paling banyak muncul adalah gepa. Di-disable artinya tidak bisa diakses dari luar tetapi website tetap ada. Karena ada makanya bisa kirim email.

redpages · « **Reply #40 on:** 2015-06-13, 01:04:49 »

oo kirain disabled account itu fungsinya kaya suspended pada WHM/cpanel

Lantas, untuk mematikannya apakah cukup dengan menambahkan "mail" pada Disable Functions di akun GEPA ?

MRatWork · « **Reply #41 on:** 2015-06-13, 04:11:14 »

Bisa.

redpages · « **Reply #42 on:** 2015-06-17, 03:43:43 »

untuk server satunya lagi juga kena blokir karena spamming. Padahal saya cek seperti tidak ada aktivitas email (attachment) namun pihak datacenter tetap mengatakan ada

Quote

The null was placed for the following reasons: IP 192.227.242.188 has been null routed due to threshold violation (32000 packets). Threshold Violation Type: smtp. Please investigate issue at your end to prevent future server suspension.

.

Adakah cara lain yang lebih akurat dalam mendeteksi aktivitas tak wajar pada VPS?. Dan bagaimana menutup port 25 di kloxo MR? karena pihak datacenter terus meminta agar port tersebut ditutup.

MRatWork · « **Reply #43 on:** 2015-06-17, 05:20:52 »

Inform here 'cat /etc/my.cnf', 'cat /etc/my.cnf.d/my.cnf' and 'cat /etc/my.cnf.d/server.cnf'.

redpages · « **Reply #44 on:** 2015-06-18, 00:15:38 »

hasilnya seperti terlampir.
---
Saat saya lihat menggunakan htop terlihat 4 CPU bar nya cepat 100% dan yang sering bekerja di posisi atas adalah
- supervise pop3
- supervise smtp
- supervise smpt-ssl

Apakah ini berarti smtp bekerja terus menerus (padahal fungsi "mail" disetiap client sudah disabled)?
karena saat lakukan perintah di bawah sbgmn petunjuk dari datacenter cpu bar tak lagi bergerak cepat, kembali tenang, hanya di kisaran 5-10% saja.

Quote

Step 1: Add iptables rules to Drop port 25
iptables -A INPUT -p tcp --dport 25 -j DROP
iptables -A OUTPUT -p tcp --dport 25 -j DROP

Step 2: Save iptables rules
service iptables save

Author Topic: Setting IPTABLES dan tanya cara mengetahui akun spammer (Read 18364 times)

MRatWork

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

redpages

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

MRatWork

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

redpages

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

redpages

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

MRatWork

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

redpages

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

MRatWork

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

redpages

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

MRatWork

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

redpages

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

MRatWork

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

redpages

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

MRatWork

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer

redpages

Re: Setting IPTABLES dan tanya cara mengetahui akun spammer