Операционная система Debian 6.0
Сервер используется в качестве вебсервера
Мейл сервер: Postfix version 2.7.1Собственно говоря с ним то и возникла проблема.
Недавно хостер прислал мне предупреждение что с моего сервера идёт рассылка спама, и действительно зйядя в Вебмин в конфиг Постфикса я увидел что дико растёт очередь Mail Queue. В ней куча непонятных писем, которые отправлены якобы от имени одного из сайтов которые размещены на этом сервере. Причем почтовых ящиков от которых якобы производится рассылка я естественно не создавал и их вообщем то и не заведено.Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил, но очередь сообщений всё равно растёт (переодически чищу её)
> Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что
> генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил,
> но очередь сообщений всё равно растёт (переодически чищу её)Что за «сервер»? У кого есть консольный вход? Только у вас? Кто, кроме вас самого, использует его в качестве вебсервера и имеет, соответственно, апачи-мапачи?
По фотографии от алкоголизма не лечим.
>> Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что
>> генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил,
>> но очередь сообщений всё равно растёт (переодически чищу её)
> Что за «сервер»? У кого есть консольный вход? Только у вас? Кто,
> кроме вас самого, использует его в качестве вебсервера и имеет, соответственно,
> апачи-мапачи?
> По фотографии от алкоголизма не лечим.Только я.
Оба сайта что там крутятся мои.
Что ещё меня удивляет так это то что постфикс настроен на домен одного сайта, ну и MX запись есть только у него, но спам рассылают от имени второго сайта.вот например
это взял из очереди сообщений. за 30 минут там прибавилось 3000 сообщений! :(
001FF167200 2014/04/22 18:09 tina_lynch@pkuneev.ru namrehs102@aol.com 580 bytes
00250166D45 2014/04/22 17:49 elisa_sherman@pkuneev.ru mann1107@yahoo.com 615 bytes
002C5166DFB 2014/04/22 17:50 therese_nicholson@pkuneev.ru lbeputt@aol.com 616 bytes
php можно установить с патчем, который будет говорить какой именно скрипт почту шлёт. Как на линуксах не знаю, на FreeBSD это просто опция компиляции
> php можно установить с патчем, который будет говорить какой именно скрипт почту
> шлёт. Как на линуксах не знаю, на FreeBSD это просто опция
> компиляциипроще в php.ini запретить функции типа mail* и еже с ним, но это конечно не спасет если через дыру в движке получают консоль ...
но у автора похоже, судя по манере задавать вопросы, понятия нет что где искать и как вообще все работает в принципе - так что по фото тут не полечишь как писали выше ))
автор для сваво почтаря даже реверс не удосужился прописать ...
> php можно установить с патчем, который будет говорить какой именно скрипт почту
> шлёт. Как на линуксах не знаю, на FreeBSD это просто опция
> компиляциина нормальных ОС достаточно включить соотв опцию в php.ini ;)
млин, ну кто таким как вы сервера в руки даёт ...
ну логи то хоть грепать умеете???1. грепаем/смотрим логи постфикса - на предмет "с какого ИП прилетает зараза в очередь"
- if localhost || 127.0.0.1 -> 99% дыра в скрипте пхп, или каком то вордпрессе/джумле итп, переходим к пункту 2
- else -> то есть письмо приходит с левого белого ИП - тут дыра в настройках relay и/или авторизации самого постфикса, возможен вариант с подставой from || reply-to и несуществующим пользователем, чтобы баунс ушёл "куда надо". Короче смотреть сам постфикс.2. Если дыра в пыхапе и/или модном фрэймворке -> грепаем/смотрим логи апача/нджинкса, ищем левую хрень. Обновляем пхп (если нужно) или убираем всю срань или фиксим индусский код в скрипте или патчим модный фрэймворк.
ЗЫ: чтоб получить нормальный ответ надо задавать нормально вопросы. Где нужные куски логов и конфигов? Как правильно сказал один из предыдущих ораторов:
>По фотографии от алкоголизма не лечим.
ЗЫЗЫ тут насчёт флага товарищ тоже прав - в дебиане и убунте он по умолчанию включён, ищем в заголовках писем "X-PHP-Originating-Script:"