поиск процесса, который отслылает спам

dVital · 16 мая 2017, 10:26:02

Добрый день!
Столкнулся с проблемой, которую не могу решить.

Хостер сообщил, что наш сервер шлет спам, и я занялся поиском дыры.
1. Установил параметры:
mail.add_x_header = On
mail.log = /var/log/phpmail.log
в php.ini

Однако, получилось, что логгируются только неспам письма. Это значит, что спам шлется не через php.

2. Попытался через tcpdump определить, какой процесс шлет письма. Конечно, выяснилось, что это postfix =)
Также пробовал lsof -r 1 -i :25 , но из данных этой программы нельзя выяснить какой же процесс отдает письмо, чтобы postfix смог его отправить.

Просто не сталкивался даже никогда с этим. Можете помочь? Спасибо!

endru · 16 мая 2017, 10:54:31

скорее всего шелл на сайте твоем, если права не правильно выставлял на сайте.
первое, что нужно было сделать это поискать исполняемые файлы в директории сайта:

Код Выделить

find /path/to/site/ -perm /a=x
2) остановить postfix, и посмотреть очередь.

Код Выделить

postqueue -p
он тебе подскажет сколько писем висит в очереди на отправку.
удалить всю очередь:

Код Выделить

postsuper -d ALL
НО, прежде чем удалять нужно посмотреть заголовки отправленного письма, возможно там можно будет что-то узнать!
делаем postqueue -p, смотрим любой ID спам письма, и отправляем его в файл, для дальнейшего анализа:

Код Выделить

postcat -q ID > /home/myuser/spam.txt
далее нужно будет анализировать заголовки письма.

dVital · 16 мая 2017, 22:36:19

Спасибо за консультацию!

А вопрос такой:

почему спам-письма не попадают в лог-файл? Если я через php отправлю письмо, то его параметры тут отразятся, а спама тут нет.

mail.add_x_header = On
mail.log = /var/log/phpmail.log
в php.ini

ogost · 17 мая 2017, 03:24:29

возможно потому что спам отправляется не через php?

dVital · 17 мая 2017, 10:33:04

Цитата: ogost от 17 мая 2017, 03:24:29
возможно потому что спам отправляется не через php?

Так я и описал проблему поиска и начал именно с этого. Я не знаю что дальше делать. Если есть специалист, который может помочь за плату, то напишите.

endru · 17 мая 2017, 10:36:43

dVital, я же уже написал что нужно сделать. команды выполнял?

dVital · 17 мая 2017, 11:18:03

Это все делалось в первую очередь. Ничего не дало в плане информации.

ogost · 17 мая 2017, 12:50:52

просмотри список запущенных процессов, на предмет незнакомых и подозрительных процессов.

Код Выделить

ps -ax | more
в /proc/<pid>/cmdline можно посмотреть по какому пути находится исполняемый файл процесса, а так же с какими параметрами он запущен. тут тоже нужно смотреть подозрительное/незнакомое. дальше гуглим, пользуемся virustotal.com, спрашиваем.
ещё можно посмотреть кто какие порты слушает и отталкиваться уже от этого.