debian.org / О Debian Где взять Debian Поддержка Уголок разработчика Новости Wiki

Автор Тема: поиск процесса, который отслылает спам  (Прочитано 527 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн dVital

  • Topic Author
  • Сообщений: 10
Добрый день!
Столкнулся с проблемой, которую не могу решить.

Хостер сообщил, что наш сервер шлет спам, и я занялся поиском дыры.
1. Установил параметры:
mail.add_x_header = On
mail.log = /var/log/phpmail.log
в php.ini

Однако, получилось, что логгируются только неспам письма. Это значит, что спам шлется не через php.

2. Попытался через tcpdump определить, какой процесс шлет письма. Конечно, выяснилось, что это postfix =)
Также пробовал lsof -r 1 -i :25 , но из данных этой программы нельзя выяснить какой же процесс отдает письмо, чтобы postfix смог его отправить.

Просто не сталкивался даже никогда с этим. Можете помочь? Спасибо!
 

Оффлайн endru

  • Сообщений: 1546
  • Новосибирск
  • Jabber: endru@jabber.ru
скорее всего шелл на сайте твоем, если права не правильно выставлял на сайте.
первое, что нужно было сделать это поискать исполняемые файлы в директории сайта:
find /path/to/site/ -perm /a=x2) остановить postfix, и посмотреть очередь.
postqueue -pон тебе подскажет сколько писем висит в очереди на отправку.
удалить всю очередь:
postsuper -d ALLНО, прежде чем удалять нужно посмотреть заголовки отправленного письма, возможно там можно будет что-то узнать!
делаем postqueue -p, смотрим любой ID спам письма, и отправляем его в файл, для дальнейшего анализа:
postcat -q ID > /home/myuser/spam.txtдалее нужно будет анализировать заголовки письма.

Оффлайн dVital

  • Topic Author
  • Сообщений: 10
Спасибо за консультацию!

А вопрос такой:

почему спам-письма не попадают в лог-файл? Если я через php отправлю письмо, то его параметры тут отразятся, а спама тут нет.

mail.add_x_header = On
mail.log = /var/log/phpmail.log
в php.ini
 

Оффлайн ogost

  • Сообщений: 2731
  • Linux Registered User #547151
возможно потому что спам отправляется не через php?

Оффлайн dVital

  • Topic Author
  • Сообщений: 10
возможно потому что спам отправляется не через php?

Так я и описал проблему поиска и начал именно с этого. Я не знаю что дальше делать. Если есть специалист, который может помочь за плату, то напишите.
 

Оффлайн endru

  • Сообщений: 1546
  • Новосибирск
  • Jabber: endru@jabber.ru
dVital, я же уже написал что нужно сделать. команды выполнял?

Оффлайн dVital

  • Topic Author
  • Сообщений: 10
Это все делалось в первую очередь. Ничего не дало в плане информации.
 

Оффлайн ogost

  • Сообщений: 2731
  • Linux Registered User #547151
просмотри список запущенных процессов, на предмет незнакомых и подозрительных процессов.
ps -ax | moreв /proc/<pid>/cmdline можно посмотреть по какому пути находится исполняемый файл процесса, а так же с какими параметрами он запущен. тут тоже нужно смотреть подозрительное/незнакомое. дальше гуглим, пользуемся virustotal.com, спрашиваем.
ещё можно посмотреть кто какие порты слушает и отталкиваться уже от этого.

Теги: