1. Login ke server via ssh
2. Jalankan perintah :
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
3. Contoh hasil outputnya adalah seperti ini :
129 /home/usernama/public_html
148 /home/usernamea/public_html/mobile
519 /home/usernameb
906 /home/usernamec/public_html/forum
1245 /home/usernamed
1249 /home/usernamee/data
4. Terlihat tersangka ada di (1249 /home/usernamee/data) karena terdapat lebih banyak pengiriman yang datang dibanding yang lain.
5. Sekarang kita lihat ada file apa di folder tersangka, gunakan perintah berikut :
ls -lahtr /home/usernamee/data
6. Contoh hasilnya adalah :
drwxr-xr-x 17 usernamee usernamee 4.0K Jan 20 10:25 ../
-rw-r--r-- 1 usernamee usernamee 5.6K Jan 20 11:27 mailer.php
drwxr-xr-x 2 usernamee usernamee 4.0K Jan 20 11:27 ./
7. Terdapat file script mailer.php atau file script bisa berupa nama yang aneh lainnya.
8. Jalankan perintah berikut (tergantung struktur directory server):
grep "mailer.php" /home/usernamee/access-logs/example.com | awk '{print $1}' | sort -n | uniq -c | sort -n
9. Contoh hasil outputnya (hasil berbeda tergantung ip target) :
2 113.113.123.126
2 113.113.123.125
2 113.113.123.124
1260 113.113.123.123
10. Terlihat bahwa pada baris terakhir dari hasil pengecekan menggunakan resource cukup besar yang menjalankan script mailer tersebut. Untuk selanjutnya bisa kita blockir ip tersebut melalui firewall yang dipake pada server (misal csf firewall).
Selamat mencoba.
