O próximo passo é tratar o incidente, agora devemos redefinir a senha da conta afetada e então seguir com a limpeza da fila, podemos redefinir a senha através do cPànel relativo ao domínio da conta, iremos em "E-mail >> E-mail Accounts >> Localizaremos a conta e iremos em Manage ou gerenciar no canto direito >> Vamos agora em Nova senha e por fim em Update Mail Settings"
Após isso reiniciaremos o serviço de autenticação do cPanel através do WHM, iremos em "Restart Services >> IMAP Server" e então em "Restart Services >> Mail Server (Exim)". Por fim limparemos a nossa fila de e-mails, podemos realizar o procedimento utilizando a linha de comando da seguinte forma:
exim -bp | exiqgrep -i | xargs exim -Mrm |
Podemos realizar a limpeza através da interface do WHM em "Mail Queue Manager". Após finalizada iremos acompanhar novamente a fila, caso após alguns minutos não tenha novas incidências poderemos seguir para o próximo passo, caso ainda existam novas incidências é possível que o envio partindo da conta possa vir de um script, ou partir de um abuso relativo a uma aplicação, como por exemplo, enviar e-mails em massa através de um formulário de contato desprotegido de um site. Conseguiremos verificar o caso em mais detalhes investigando o arquivo de log "/var/log/exim_mainlog", filtraremos pela conta que desejamos investigar, seguiremos como no exemplo:
Em adição, podemos utilizar a interface para verificações dos logs no WHM, basta ir em "ConfigServer Security & Firewall >> Search System Logs"
Agora basta escolhermos o log desejado e a conta que iremos filtrar: Procure pelo campo cwd, nele teremos uma ideia de onde está partindo o script ou o abuso, identificaríamos algo similar ao exemplo abaixo, leremos "exemplo", como o nome da conta cPanel:
cwd=/home/exmplo/public_html |
No caso acima, é bem provável que a aplicação web da conta "exemplo", por exemplo o site hospedado na conta, está sendo utilizado para disparar SPAM, caso a conta possua um formulário desprotegido, provavelmente ele é a raiz do problema, nesse caso iremos adicionar um CAPTCHA ao formulário e problema deve ser sanado. Agora acompanharemos a fila de e-mails novamente e confirmaremos que o disparo de fato cessou. |