Рассылается спам с сервера

Итак, имеем сервер на базе Debian.
Жалоба на исходящий спам с сервера.

Задача: очистить очередь отправлений и обнаружить причину.

Решение: вариантов, конечно, много. Рассмотрим один из них.

1. Подключаемся по SSH и смотрим очередь писем:
mailq

Да, писем много.

2. Отключаем почтовый сервер (стоит postfix)
/etc/init.d/postfix stop

3. Смотрим на соединения на 25й порт:
netstat -apn | grep :25
Если Established нет — значит, спам рассылается не через вредоносный скрипт, который отправляет почту в обход локального почтового сервера.

4. Очищаем очередь писем https://0pl.ru/kak-udalit-ochered-pisem/ Конечно, при условии, что мы это сделать можем (в очереди могут быть реальные письма реальным пользователям).
postsuper -d ALL
postsuper: Deleted: 72849 messages

5. Пробуем включить расширенное логирование почты:
mv /usr/sbin/sendmail /usr/sbin/sendmail.org
touch /usr/sbin/sendmail
chmod +x /usr/sbin/sendmail

echo -n '#!/bin/bash
logger -p mail.info sendmail-ext-log: site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, pwd=${PWD}, uid=${UID}, user=$(whoami)
/usr/sbin/sendmail.org -t -i' > /usr/sbin/sendmail

6. Запускаем почтовый сервер
/etc/init.d/postfix start

7. Смотрим логи
tail -f /var/log/mail.info
Видим что-то вроде:

Jan 23 16:25:25 danma logger: sendmail-ext-log: site=, client=, script=send.php, pwd=/var/www/danma/data/www/site.ru, uid=33, user=www-data
Jan 23 16:25:25 danma postfix/pickup[11520]: E3CD259403D: uid=33 from=
Jan 23 16:25:25 danma postfix/cleanup[11522]: E3CD259403D: message-id=

Обращаю внимание, что это один из вариантов действий.
Если есть ID письма в жалобе — стоит посмотреть его в логах отправлений.
Бывает так, что на сервере стоит опенрелей.
А еще бывает, что просто подобрали пароль к ящику — на это так же стоит обратить внимание!

Рассылается спам с сервера: 5 комментариев

  1. 2. Отключаем почтовый сервер (стоит postfix)
    /etc/init.d/postfix stop

    Что за бред Вы пишите , эсли стопнут почтовый сервер то ни чего ни куда не ходит . Нет разницы какой метод отправки СПАМА через phpmail или sendmail , все равно при рассылке далее после выполнения скрипта идет exim/(postfix) и если он стопнут ни чего ни куда не ходит.

  2. Вроде по инструкции каждый пункт делал…
    В результате:
    tail: cannot open `/var/log/mail.info’ for reading: No such file or directory

    Операционная система — CentOS 6.5 вроде как.
    А ещё вот реакция на первую комманду:
    /usr/bin/mailq: Permission denied
    Естественно под рутом заходил…

Добавить комментарий

Ваш адрес email не будет опубликован.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.