Привет всем.
Столкнулся с такой проблемой. У меня крякнули сайт и спамили через postfix от www-data.
Сайт я востановил, а спам продолжает валить. Подскажите где еще поискать?
Конфиг postfix.
main.cf
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = noappend_dot_mydomain = no
mydomain = domain.ru
myhostname = mail.domain.ru
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, localhost
relayhost = mail.provider.ru
mynetworks = 127.0.0.0/8 192.168.1.0/24 85.113.xxx.xxx 85.113.xxx.xxx
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
mail_spool_directory = /var/mail
maps_rbl_reject_code=554smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_hostname,
permit_mynetworkssmtpd_hard_error_limit = 8
strict_rfc821_envelopes = yes
disable_vrfy_command = yessmtpd_client_restrictions = reject_rbl_client bl.spamcop.net
smtpd_sender_restrictions = reject_non_fqdn_sender,
reject_unknown_sender_domainsmtpd_recipient_restrictions = permit_mynetworks,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname
restrictive = reject_unknown_sender_domain reject_unknown_client_hostname ...
permissive = permit
restrictive = reject_unknown_sender_domain reject_unknown_client_hostname ...
permissive = permittransport_maps=mysql:/etc/postfix/mysql/transport.cf
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_maps = mysql:/etc/postfix/mysql/users.cf
virtual_alias_maps = mysql:/etc/postfix/mysql/aliases.cf
virtual_uid_maps = static:103
virtual_gid_maps = static:105
relay_domains = $transport_mapslocal_recipient_maps = $virtual_mailbox_maps $virtual_maps $transport_maps
check_sender_access = mysql:/etc/postfix/mysql/restricted_senders
>Подскажите где еще поискать?В логах постфикса. Потом в текстах скриптов сайта.
>>Подскажите где еще поискать?
>
>В логах постфикса. Потом в текстах скриптов сайта.Логи смотрел, не нашел. Вот кусок
Mar 8 09:35:41 localhost postfix/qmgr[8013]: 849CA3D01C2: from=<www-data@domen.ru>, size=2407, nrcpt=1 (queue active)
Mar 8 09:35:41 localhost postfix/qmgr[8013]: 84A753D02D8: from=<www-data@domen.ru>, size=2420, nrcpt=1 (queue active)
Mar 8 09:35:41 localhost postfix/qmgr[8013]: 9FB883D02D1: from=<www-data@domen.ru>, size=2424, nrcpt=1 (queue active)
Mar 8 09:35:41 localhost postfix/qmgr[8013]: D1D543D02F9: from=<www-data@domen.ru>, size=2416, nrcpt=1 (queue active)
Mar 8 09:35:41 localhost postfix/smtp[9866]: B583C3D02DD: to=<acassytwisync@mymail-in.net>, relay=mail.intercon.ru[85.113.128.132]:25, delay=23649, delays=2
Mar 8 09:35:41 localhost postfix/smtp[9865]: A5B4E3D025C: to=<menpa@atd1905.ru>, relay=mail.intercon.ru[85.113.128.132]:25, delay=65315, delays=65315/0.11/0
Mar 8 09:35:41 localhost postfix/smtp[9867]: A6B443D0244: to=<sakddhsajd@naidi-menya.ru>, relay=mail.intercon.ru[85.113.128.132]:25, delay=81616, delays=816Сайт востановил из бэкапа.
Пробовал запретить рассылку через php- не помогло.
>>>Подскажите где еще поискать?
>>может спамеры успели в очередь постфикса поднасрать не хило и щас он ее отправляет патихоньку...проверь чего там за письма, попробуй хедеры\тело письма глянуть спамного
как вариант по логи веб-сервера или grep на функцию mail() по всему сайту поможет найти скрипт.
возможно через cgi спамят?
Всем спасибо, разобрался.
На сервере лежал сайт с форумом. В форуме хацкеры проковыряли дырку и добрались до SQL базы форумской. Там записали базу адресов и вирусню и благополуно спамили троянами через postfix.
Так что будте внимательны и почащще обновляйте движки сайтов.