SMTP vps di Blok oleh Digital Ocean, bagaimana menanggulangi masalah SPAM ini ?

[agustianirmawan]

saya ada permasalahan seperti ini saya mendapatkan email dari pihak Digital Ocean mengenai permasalahan SPAM di vps milik saya.

SMTP Blocked - Abuse Complaint
Hello!
Unfortunately, as a result of SPAM complaints originating from servers on your account, we have temporarily blocked the ability of servers in your account from sending and receiving mail.

Please investigate the complaints on your account, and resolve the issues. Then, respond to us and request that the block be lifted, explaining what you determined was the cause and how you resolved the issue.

We take this type of violation very seriously as we comply fully with the CAN-SPAM Act. If you're not familiar, this says that you may not send bulk email unless you follow several rules making it clear who is sending the e-mail and what the contents of the e-mail are: http://www.ftc.gov/tips-advice/business-center/guidance/can-spam-act-compliance-guide-business. Also, you must follow guidelines for including removal links with all sent emails according to the CAN-SPAM Act.

If you have any questions please let us know.

Regards,
DigitalOcean Support

untuk mengetahui celah mana yang menyebabkan SPAM di vps saya ini bagaimana cara nya ?

ini sysinfo vps nya :

[root@vps ~]# sh /script/sysinfo
A. Kloxo-MR: 7.0.0.b-2016011401
   - Web: hiawatha-10.0.0-f.6.mr.el6.i686
   - PHP: php53s-5.3.29-1.ius.el6 (fpm mode)
B. Plateform:
   - OS: CentOS release 6.7 (Final) i686
   - Hostname: vps.acmi1899.com
C. Services:
   1. MySQL: mysql55-5.5.47-1.ius.el6.i686
   2. PHP:
      - Branch: php53u-cli-5.3.29-1.ius.el6.i686
      - Multiple:
        * php55m-5.5.26-1.ius.el6
      - Used: --Use PHP Branch--
   3. Httpd: httpd-2.2.31-1.mr.el6.i386
      - PHP Type: php-fpm_event
   4. Lighttpd: --uninstalled--
   5. Hiawatha: --used--
   6. Nginx: --uninstalled--
   7. Cache: --uninstalled--
   8. Dns: --uninstalled--
   9. Qmail: qmail-toaster-1.03-1.3.55.mr.el6.i386
      - with: courier-imap-toaster-4.1.2-1.3.18.mr.el6.i386
D. Memory:
                total       used       free     shared    buffers     cached
   Mem:          1006        563        442         53         37        122
   -/+ buffers/cache:        403        603
   Swap:         1023        118        905
E. Disk Space:
   Filesystem      Size  Used Avail Use% Mounted on
   /dev/vda1        20G   14G  5.7G  70% /

*** Process Time: 00:00:00:07.7424 (dd:hh:mm:ss:xxxxxx) ***

* Note: run 'sh /script/sysinfo -y' if you want run 'fix-service-list' also
        (importance after Kloxo-MR update)

[agustianirmawan]

Hampir disemua Client ternyata didalam WP-INCLUDE nya terdapat folder-folder & file-file seperti ini ? apakah memang ini bawaan wordpress nya atau ada sesuatu yg bisa jadi masuk lewat sana penyebabnya ?

[agustianirmawan]

saya juga sudah coba menjalankan perintah sh /script/maldet-installer; maldet -b -a /home'. dan sy cek hasil di 'log manager' untuk 'maldetect' hasil nya seperti di link ini http://www.beetxt.com/0Jc/ 


hasil report maldetect nya

[root@vps ~]# maldet --report
Linux Malware Detect v1.5
            (C) 2002-2015, R-fx Networks <proj@rfxn.com>
            (C) 2015, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
  GNU nano 2.0.9 File: ...al/maldetect/sess/session.160216-2234.14237

HOST:      vps.acmi1899.com
SCAN ID:   160216-2234.14237
STARTED:   Feb 16 2016 22:34:51 -0500
COMPLETED: Feb 16 2016 22:37:56 -0500
ELAPSED:   185s [find: 5s]

PATH:          /home
TOTAL FILES:   61018
TOTAL HITS:    0
TOTAL CLEANED: 0

===============================================
Linux Malware Detect v1.5 < proj@rfxn.com >

[MRatWork]

Maldet tidak mendeteksi adanya malware. Coba infokan hasil 'cat /var/log/maillog'.

[seravee77]

Halo mas Agus,

Kalau menurut saya maldet tidak terlalu bisa diandalkan jaman sekarang. Toh para spammer punya sejuta cara untuk melakukan "compromise" pada server kita, sedangkan maldet hanya melakukan 1 kali update dalam 1 bulan. Perbandingannya seperti itu.

Kalau saran saya, kita coba lihat log server maillog dan kita grep syntax ini.

Kita cek dulu pada maillog apakah kena brute force atau tidak

cat /var/log/maillog | grep -i fail | less

Jika banyak FAILED, berarti vps anda menjadi sasaran brute force. Tapi saya gak tahu dan lupa mekanisme dari Kloxo-MR banned IP apakah hanya di halaman admin login saja atau mail auth juga termasuk.

Kita cek mailqueue vpsnya juga, biasanya mailqueuenya tinggi. Mungkin perlu juga untuk mematikan mail service untuk sementara jika mail queue tinggi sekali.

Jika pakai qmail : /var/qmail/bin/qmail-qstat
Jika pakai postfix : postqueue -p atau mailq

Mungkin bisa dipastekan hasilnya ada berapa queue mailnya?

[MRatWork]

Coba infokan saja 'cat /var/log/maillog | grep -i sendmail | less'.

[agustianirmawan]

terima kasih pak mustafa dan  seravee77 sudah mau membalas

hasil sy menjalankan cat /var/log/maillog | grep -i fail | less ada di link ini : http://prntscr.com/a4akbd dan ini http://prntscr.com/a4akg9

dan sudah sy jalanin perintah ini /var/qmail/bin/qmail-qstat hasil nya http://prntscr.com/a4akst

[agustianirmawan]

Coba infokan saja 'cat /var/log/maillog | grep -i sendmail | less'.

hasil nya kosong pak...

[MRatWork]

Coba infokan saja 'cat /var/log/maillog | grep -i sendmail | less'.

hasil nya kosong pak...

Infokan 'dir -l /var/log/maillog*'.

[agustianirmawan]

Coba infokan saja 'cat /var/log/maillog | grep -i sendmail | less'.

hasil nya kosong pak...

Infokan 'dir -l /var/log/maillog*'.

hasil nya seperti ini pak :

[root@vps ~]# dir -l /var/log/maillog*
-rw------- 1 root root       0 Feb 14 03:50 /var/log/maillog
-rw------- 1 root root 7355995 Jan 31 17:24 /var/log/maillog-20160127
-rw------- 1 root root 1495718 Feb  7 08:48 /var/log/maillog-20160207
-rw------- 1 root root 9203148 Feb 17 02:15 /var/log/maillog-20160214
[root@vps ~]#

[MRatWork]

Coba 'cat  /var/log/maillog* | grep -i sendmail'

[noob]

coba pake ini: http://forum.mratwork.com/kloxo-mr-tips-and-tricks/sendmail-userid-usage-limits-(script-v1-1b)/

membatasi jadi pengiriman maksimal 25 email/jam.
baru tanggal 9 februari kemarin salah satu klien saya kena, untungnya saya pakai script tsb sehingga bisa dilimit. dan enaknya di /var/log/ terdapat log harian, sehingga bisa tau client mana yang menyebabkan hal tsb.

langsung ditangani dan bisa juga dengan membatasi dulu klien tsb sehingga cuma bisa kirim 20 email/hari agar tidak melakukan spam sebelum problem solve

[agustianirmawan]

Coba 'cat  /var/log/maillog* | grep -i sendmail'

sudah pak, hasil nya di link ini : http://pastebin.com/0EsfUJpj

[MRatWork]

Coba 'cat  /var/log/maillog* | grep -i sendmail'

sudah pak, hasil nya di link ini : http://pastebin.com/0EsfUJpj

Cuma beberapa puluh/ratus saja hasilnya?. Dari hasil yang ada tidak website yang patut dicurigai sebagai 'penyebar' spam.

[agustianirmawan]

Coba 'cat  /var/log/maillog* | grep -i sendmail'

sudah pak, hasil nya di link ini : http://pastebin.com/0EsfUJpj

Cuma beberapa puluh/ratus saja hasilnya?. Dari hasil yang ada tidak website yang patut dicurigai sebagai 'penyebar' spam.

nah itu pak, saya bingung men-deteksi nya berarti harus dicek semua nya satu per satu baik file web nya atau plugin wordpress nya ?