Virtual Private Server 

Mijn VPS-server verstuurt spam, hoe los ik dit op?

De spamproblemen welke je ervaart op jouw server zijn vaak gerelateerd aan een lek script op een van jouw websites of een e-mailadres waarvan het wachtwoord is achterhaald.

Er is helaas geen standaard methode waarmee dit automatisch is op te lossen, wel zijn er een groot aantal hulpmiddelen beschikbaar waar het opsporen van het probleem vergemakkelijkt wordt.


[Mailserver controle]
Om te controleren of de e-mailserver spam aan het versturen is dient je eerst te achterhalen welke MTA (Message Transfer Agent) er wordt gebruikt. De meest eenvoudige methode om hier achter te komen is via telnet:

telnet [mailserver.domein.nl] 25

Je zult hiermee zien onder welke naam de e-mailserver zich identificeert, bijvoorbeeld (hier Exim):

220 da-005.xl-is.net ESMTP Exim 4.80.1 Thu, 28 Nov 2013 15:41:18 +0100

We hebben een aantal handige cheatsheets per meest voorkomende e-mailserver, zodat je direct aan de gang kunt (houd er rekening mee dat alle commando's uitgevoerd worden vanaf de shell!):

Exim:
http://bradthemad.org/tech/notes/exim_cheatsheet.php

Qmail:
http://www.x83.net/qmail-commands/

Postfix:
http://shamuntoha.wordpress.com/2011/07/07/postfix-cheat-sheet-cheat-code/

Je kunt aan de hand van de benodigde cheatsheet achterhalen hoe je de huidige e-mailwachtrij opvraagt. Staan hier een hele hoop berichten in (100 of meer) dan wordt de spam via de e-mailserver verstuurd. Middels de sheet kun je ook achterhalen hoe je in een dergelijke bericht kunt kijken aan de hand van het unieke bericht ID, hieruit komt naar voren naar welk adres het gaat en belangrijker: wie is de afzender? Vooral hier is vaak op te maken welke gebruiker de spam veroorzaakt. Mocht deze username "apache" zijn dan is het jouw webserver en kun je soms aan de hand van de inhoud van het bericht achterhalen wat de exacte locatie van het mailende script is.

Zodra je weet welke afzender het probleem veroorzaakt kun je middels de sheet ook de berichten verwijderen. Vergeet uiteraard niet het script te stoppen of te verwijderen en/of de gebruiker zelf in te lichten omtrent het probleem, anders blijft de spam alsnog verstuurd worden!

[Webserver controle]
We gaan in dit gedeelte uit van Apache, dit is de meest gebruikte webserver momenteel onder Linux, hier zullen we de zogeheten "accesslogs" moeten raadplegen om te zien welk script dit veroorzaakt. Echter verschilt de plaats van de logfiles per gebruikt controlpanel zoals DirectAdmin, cPanel en OpenPanel:

Bare (verschilt per OS):
/etc/httpd/logs/
/var/log/httpd/
/var/log/apache2/

DirectAdmin:
/var/log/httpd/domains/[domein]/access.log

cPanel:
/home/[username]/access-logs/

Plesk:
/var/www/chosts/[domeinnaam]/statistics/

OpenPanel / OpenApp:
/var/log/apache2/

Het is mogelijk om de accesslogs uit te lezen met een tool als "cat" of "tail", er kan ook een editor gebruikt worden als alternatief. Het patroon waar naar gezocht moet worden is een sterk herhalende factor, de logs melden de
scriptnamen welke geraadpleegd worden, veelal zijn de scripts met vreemde namen welke gecodeerde berichten proberen te versturen of die heel veel errors opleveren, ze zijn hier dan ook snel aan te herkennen. Wanneer u een script heeft gevonden dat u niet vertrouwt, kunt u deze verwijderen of verplaatsen naar een locatie buiten de public_html map van de betreffende website om te zien of het probleem hiermee afneemt. Alternatief dient u dan nog de mailwachtrij te legen, waar u de stappen van de vorige sectie voor kunt gebruiken.

[Aanvullende informatie]
Veel spamproblemen worden veroorzaakt door achterhaalde wachtwoorden en verouderde software, wat wij veel zien als servicedesk is dat software als Joomla!, Wordpress en Magento niet voldoende onderhouden worden door
beheerders en achter gaan lopen. Hierdoor zijn bekende veiligheidslekken snel gevonden en te misbruiken door kwaadwillenden. We adviseren ten alle tijden ervoor te zorgen dat je de software up-to-date houd. Een goed hulpmiddel hiervoor is het aanmelden op de security nieuwsbrief van de betreffende software, zo word je
tijdig ingelicht omtrent updates.

Achterhaalde e-mailwachtwoorden zijn vaak het resultaat van makkelijke te raden wachtwoorden of keyloggers op de PC van de betreffende klant. Dit is op te lossen door eerst de gebruikte computersystemen te controleren op
virussen en malware en waar nodig deze op te schonen. Vervolgens kan het wachtwoord veranderd worden naar een sterk wachtwoord en hierna te controleren of het probleem afneemt.