Автор Тема: поиск процесса, который отслылает спам  (Прочитано 1629 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн dVital

Добрый день!
Столкнулся с проблемой, которую не могу решить.

Хостер сообщил, что наш сервер шлет спам, и я занялся поиском дыры.
1. Установил параметры:
mail.add_x_header = On
mail.log = /var/log/phpmail.log
в php.ini

Однако, получилось, что логгируются только неспам письма. Это значит, что спам шлется не через php.

2. Попытался через tcpdump определить, какой процесс шлет письма. Конечно, выяснилось, что это postfix =)
Также пробовал lsof -r 1 -i :25 , но из данных этой программы нельзя выяснить какой же процесс отдает письмо, чтобы postfix смог его отправить.

Просто не сталкивался даже никогда с этим. Можете помочь? Спасибо!
 

Онлайн endru

скорее всего шелл на сайте твоем, если права не правильно выставлял на сайте.
первое, что нужно было сделать это поискать исполняемые файлы в директории сайта:
find /path/to/site/ -perm /a=x2) остановить postfix, и посмотреть очередь.
postqueue -pон тебе подскажет сколько писем висит в очереди на отправку.
удалить всю очередь:
postsuper -d ALLНО, прежде чем удалять нужно посмотреть заголовки отправленного письма, возможно там можно будет что-то узнать!
делаем postqueue -p, смотрим любой ID спам письма, и отправляем его в файл, для дальнейшего анализа:
postcat -q ID > /home/myuser/spam.txtдалее нужно будет анализировать заголовки письма.

Оффлайн dVital

Спасибо за консультацию!

А вопрос такой:

почему спам-письма не попадают в лог-файл? Если я через php отправлю письмо, то его параметры тут отразятся, а спама тут нет.

mail.add_x_header = On
mail.log = /var/log/phpmail.log
в php.ini
 

Оффлайн ogost

возможно потому что спам отправляется не через php?

Оффлайн dVital

возможно потому что спам отправляется не через php?

Так я и описал проблему поиска и начал именно с этого. Я не знаю что дальше делать. Если есть специалист, который может помочь за плату, то напишите.
 

Онлайн endru

dVital, я же уже написал что нужно сделать. команды выполнял?

Оффлайн dVital

Это все делалось в первую очередь. Ничего не дало в плане информации.
 

Оффлайн ogost

просмотри список запущенных процессов, на предмет незнакомых и подозрительных процессов.
ps -ax | moreв /proc/<pid>/cmdline можно посмотреть по какому пути находится исполняемый файл процесса, а так же с какими параметрами он запущен. тут тоже нужно смотреть подозрительное/незнакомое. дальше гуглим, пользуемся virustotal.com, спрашиваем.
ещё можно посмотреть кто какие порты слушает и отталкиваться уже от этого.

Теги:
     

    поиск документации на комманду strace , а точнее output версии

    Автор lenin

    Ответов: 0
    Просмотров: 972
    Последний ответ 12 Января 2017, 23:57:38
    от lenin