Блокировать рассылку СПАМа с сервера, exim4. [РЕШЕНО]

[Tartyga]

Здравствуйте!

Недавно сервер стал постоянно падать. После копаний выяснил, что с сервера идет рассылка СПАМа, логи забиты frozen письмами. Поменял все пароли, очистил очередь, удалил спамерские скрипты (случайно были перенесены с другого хостинга). Особенных положительных результатов не добился. За день появляется ~10000 frozen писем.
В "rejectlog" записи подобного типа:

2014-11-26 18:30:01 H=221.61.38.86.static.lrtc.lt [86.38.61.221] F=<info@TREK.com> rejected RCPT <billing@******.ru>: Unknown user

На сколько понял, какой то подлец мучает брутфорсом мой сервер. Покопался в гугле, установил fail2ban, но немного запутался с регуляркой для бана в exim.conf.
В общем, ни как не могу побороть проблему. Уже подумываю сайты в архив и переустановить систему.

[endru]

а по логам не удается отследить откуда он запускает рассылку? может это делает какой то зараженный сайт? посмотри в логах почтового сервера, с какого ip отправляют весь спам.

[Tartyga]

Вроде, как решил. Нашел нормальное описание по fail2ban, указал в "jail.conf"

Код Выделить Развернуть

failregex = \[<HOST>\] .*(?:rejected by local_scan|Unrouteable address|Dnsbl blocked|Sender verify failed|relay not permitted)
Произвел поиск php файлов на наличие строки "eval", нашел с десяток шелов.
Несколько часов ни одного frozen, график нагрузки свалился почти к нулю.

[endru]

Чтобы избегать появления shell на сайте нужно правильно выставлять права на файлы сайта:

Код Выделить Развернуть

chown -R www-data:www-data /path/to/site/
find /path/to/site/ -type d -exec chmod 755 {} \;
find /path/to/site/ -type f -exec chmod 644 {} \;

[Tartyga]

Endru, это понятно, все так и есть. Гадость с хостинга перенес в спешке, сам виноват, надо было проверить что заливаю))