Здравствуйте.
Возникла следующая ситуация.
в маиллоге вижу очень большое число записей, типа:

info msg 313089: bytes 1357 from <anonymous@myhost.com> qp 51138 uid 65534
824 end msg 307581
159 new msg 307707
546 info msg 307707: bytes 1347 from <anonymous@myhost.com> qp 51180 uid 65534
452 starting delivery 12184: msg 309214 to remote davidjbm@uol.com.br
776 status: local 0/10 remote 13/20
696 end msg 308777
442 delivery 12165: success: 69.93.70.82_accepted_message./Remote_host_said:_25 ...

адреса на которые шлются письма от anonymous@myhost.com все разные и их очень много.

я как понимаю этим занимается какой-нибудь виртуальщик из своего cgi или php скрипта. В итоге получаю следующую картину:

/var/qmail/bin/qmail-qstat
messages in queue: 93989
messages in queue but not yet preprocessed: 60886

картина ужасная.
почта не отправляется, не принимается.

Подскажите каким образом можно выщемить эту скатину? Может какими-нибудь средствами апача можно отследить какой скрипт интенсивно шлет мыло? или средствами системы (FreeBSD 5.3) ?

Поможет ли в этом случаи создание файла badmailfrom (с внесенной в него записью anonymous@myhost.com) в /var/qmail/control ?

Может кто сталкивался с подобным?

Заранее спасибо.

• qmail рассылка спама,Sampan, 17:54 , 29-Дек-04
  • qmail рассылка спама,Sampan, 18:03 , 29-Дек-04
    • qmail рассылка спама,visitor, 23:53 , 29-Дек-04
  • qmail рассылка спама,visitor, 23:51 , 29-Дек-04
    • qmail рассылка спама,Sampan, 13:31 , 30-Дек-04
• qmail рассылка спама,visitor, 23:56 , 29-Дек-04
  • qmail рассылка спама,Асен Тотин, 18:05 , 31-Дек-04
    • qmail рассылка спама,DogEater, 21:26 , 01-Янв-05

>я как понимаю этим занимается какой-нибудь виртуальщик из своего cgi или php скрипта.

Это означает, что, из вэб скрипта возможно выполнять qmail-inject?

Ты сошел с ума!!!

Срочно Арача в chroot! Отправка почты только через tcp socket (25 порт)

А еще срочнее - пройдись по своей системе чистильщиком от rootkit. Огромная вероятность того, что тебя уже поимели :-(

>А еще срочнее - пройдись по своей системе чистильщиком от rootkit. Огромная
>вероятность того, что тебя уже поимели :-(

прошелся по всем тестам - все чисто.

>>я как понимаю этим занимается какой-нибудь виртуальщик из своего cgi или php скрипта.
>
>Это означает, что, из вэб скрипта возможно выполнять qmail-inject?
>

да, нет, нельзя.
из скрипта вероятно выполняют /usr/bin/mail список_адресов <spam-file

>Ты сошел с ума!!!
>
>Срочно Арача в chroot! Отправка почты только через tcp socket (25 порт)
>

он так и работает.

>>Срочно Арача в chroot! Отправка почты только через tcp socket (25 порт)
>>
>
>он так и работает.

Дык тогда, наверное, нужно убрать RELAYCLIENT с адреса 127.0.0.1 или, если релей все-же необходим, повесить tcpserver на 127.0.0.1 на нестандартном порту и ни кому его не говорить (бог весть какая защита, но - все-же...)

вырубил qmail, почистил скриптом всю очередь, запустил qmail, пока рассылки нету, гада так и не выщемил.
Наверно придется ждать следующего раза и смотреть server-status или в ps рыться, другого способа не знаю...

Привет,

Возможный сценарий: юзер хочет, чтоб с его сайта можно было ему отправлять письма, запросы, записи гостевой книги, что угодно.

Соответствено, скачивает и запускает первый попавшийся стандартный CGI скрипт для рассылки почты. Спамерам этого и надо. Поищите, например,нет ли у кого из ваших юзеров formmail.cgi (formmail.pl) или что-то подобного.

WWell,

ну и уж совсем дурацкий совет:
grep sendmail /homes_of/your_users/*
вдруг прокатит?