Virtual Private Server 

Mijn VPS server verstuurd spam, hoe los ik dit op?

De spamproblemen welke u ervaart op uw server zijn vaak gerelateerd aan
een lek script op een van uw websites of een emailadres waarvan het wachtwoord
achterhaald is.

Er is helaas geen standaard methode waarmee dit automatisch op te lossen
is, wel zijn er een groot aantal hulpmiddelen beschikbaar waar het opsporen
van het probleem vergemakkelijkt word.

[Mailserver controle]
Om te controleren of de e-mailserver spam aan het versturen is dient u
eerst te achterhalen welke MTA (Message Transfer Agent) er gebruikt word. De meest
eenvoudige methode om hier achter te komen is via telnet:

telnet [mailserver.domein.nl] 25

U zult hiermee zien onder welke naam de e-mailserver zich identificeert,
bijvoorbeeld (hier Exim):

220 da-005.xl-is.net ESMTP Exim 4.80.1 Thu, 28 Nov 2013 15:41:18 +0100

We hebben een aantal handige cheatsheets per meest voorkomende e-mailserver,
zodat u direct aan de gang kunt (houd er rekening mee dat alle commando's
uitgevoerd worden vanaf de shell!):

Exim:
http://bradthemad.org/tech/notes/exim_cheatsheet.php

Qmail:
http://www.x83.net/qmail-commands/

Postfix:
http://shamuntoha.wordpress.com/2011/07/07/postfix-cheat-sheet-cheat-code/

U kunt aan de hand van de benodigde cheatsheet achterhalen hoe u de huidige
e-mailwachtrij opvraagt, staan hier een hele hoop berichten in (100 of
meer) dan word de spam via uw e-mailserver verstuurd. Middels de sheet kunt u ook
achterhalen hoe u in een dergelijke bericht kunt kijken aan de hand van het
unieke bericht ID, hieruit komt naar voren naar welk adres het gaan en
belangrijker: wie is de afzender. Vooral hier is vaak op te maken welke
gebruiker de spam veroorzaakt. Mocht deze username "apache" zijn dan is
het uw webserver en kunt u soms aan de hand van de inhoud van het bericht
achterhalen wat de exacte locatie van het mailende script is.

Zodra u weet welke afzender het probleem veroorzaakt kunt u middels de
sheet ook de berichten verwijderen. Vergeet uiteraard niet het script te
stoppen of te verwijderen en/of de gebruiker zelf in te lichten omtrent het probleem,
anders blijft de spam alsnog verstuurd worden!

[Webserver controle]
We gaan in dit gedeelte uit van Apache, dit is de meest gebruikte webserver
momenteel onder Linux, hier zullen we de zogeheten "accesslogs" moeten
raadplegen om te zien welk script dit veroorzaakt. Echter verschilt de
plaats van de logfiles per gebruikt controlpanel zoals DirectAdmin, cPanel en
OpenPanel:

Bare (verschilt per OS):
/etc/httpd/logs/
/var/log/httpd/
/var/log/apache2/

DirectAdmin:
/var/log/httpd/domains/[domein]/access.log

cPanel:
/home/[username]/access-logs/

Plesk:
/var/www/chosts/[domeinnaam]/statistics/

OpenPanel / OpenApp:
/var/log/apache2/

Het is mogelijk om de accesslogs uit te lezen met een tool als "cat" of
"tail", er kan ook een editor gebruikt worden alternatief. Het patroon waar naar
gezocht moet worden is een sterk herhalende factor, de logs melden de
scriptnamen welke geraadpleegd worden, veelal zijn het scripts met
vreemde namen welke gecodeerde berichten proberen te versturen of die heel veel errors
opleveren, ze zijn hier dan ook snel aan te herkennen. Wanneer u een script
heeft gevonden wat u niet vertrouwt kunt u deze verwijderen of
verplaatsen naar een locatie buiten de public_html map van de betreffende website om te
zien of het probleem hiermee afneemt. Alternatief dient u dan nog de
mailwachtrij te legen, waar u de stappen van de vorige sectie voor kunt gebruiken.

[Aanvullende informatie]
Veel spamproblemen worden veroorzaakt door achterhaalde wachtwoorden en
verouderde software, wat wij veel zien als servicedesk is dat software als
Joomla!, Wordpress en Magento niet voldoende onderhouden worden door
beheerders en achter gaan lopen. Hierdoor zijn bekende veiligheidslekken snel
gevonden en te misbruiken door kwaadwillenden. We adviseren ten alle tijden ervoor te
zorgen dat u de software up-to-date houd, een goed hulpmiddel hiervoor
is het aanmelden op de security nieuwsbrief van de betreffende software, zo word u
tijdig ingelicht omtrent updates.

Achterhaalde e-mailwachtwoorden zijn vaak het resultaat van makkelijke te
raden wachtwoorden of keyloggers op de PC van de betreffende klant. Dit is op te
lossen door eerst de gebruikte computersystemen te controleren op
virussen en malware en waar nodig deze op te schonen. Vervolgens kan het wachtwoord
veranderd worden naar een sterk wachtwoord en hierna te controleren of het
probleem afneemt.