С сервера где хостятся мои сайты (centos, exim) шлют спам.
Почистил очередь почты (кстати всего то 100 писем). Остановил exim, переименовал /usr/sbin/sendmail на sendmail-renamed, также переименовал /usr/sbin/exim на exim-renamed. Разблокировал порт в провайдера (soyoustart.com) в контрольной панели.
Спустя несколько минут 15 снова пришло письмо, что опять спам шлют и снова заблокировали мне порт 25.
В логах провайдера:
Destination IP: 67.222.61.114 - Message-ID: 1705b024f7d429ba7e900462022d6afa@odinizdomenov.com - Spam score: 300
Destination IP: 72.41.191.149 - Message-ID: e2eddd7142daa81368fcefb2cbdf8fe3@drugoydomen.com - Spam score: 300
Destination IP: 66.96.132.107 - Message-ID: 6d9f2eabbc548cfea8dc4225e5944d6a@odinizdomenov.com - Spam score: 300
Destination IP: 66.96.132.107 - Message-ID: c5799412feceac5709bd78214db84a70@odinizdomenov.com - Spam score: 300
Destination IP: 66.96.132.107 - Message-ID: aee34eb3686baf477938e697ab4fe5cd@odinizdomenov.com - Spam score: 300
Такие домены у меня есть, по Message-ID ничего в логах нет. Да и вообще в логах сервера за сегодня ничего нет по данным доменам.
Еще раньше настроил логирование исполнения функции mail в пхп, там тоже ничего нет. Как шлют спам? Какие еще варианты узнать дыру вылетания спама
Я думаю тут не дыра а прибавка к зарплате сотрудников хостинга, сначала задайте вопрос техподдержке если поймут что их спалили возможно спам внезапно прекратится
Статья полезная, но у меня какая то непонятная ситуация. Ексим остановлен, файл переименован, а провайдер и далее присылает отчет о спаме... Как без ексима может что-нибудь отправляться.
linelect: Смотрите на пальцах, если залит вредоносный скрипт, он вполне может использовать ту же встроенную функцию PHP, mail(); и скрипту насрать где физически находится ваш экзим, ну вот совсем, один хрен путь к нему указан в конфиге php, большинство спам. скриптов не шлют мусор от себя напрямую, а вполне используют возможности окружения. Тот же telnet localhost 25 не спросит у скрипта путь к деону, а просто приконектится к нужному порту и будет отправлять мусор, то что вы переименовали бинарники не имеет ни малейшего смысла. Хотите более развернутый совет - прогоняйте полную проверку сервера через maldet/clamav, rkhunter и прочие автоматически сканеры, обновляйте все движки после чистки, если движки самописные - ищите адекватного пинтестера, который поможет вашему программисту закрыть уязвимости. Мой первый совет - это как экстренно перекрыть поток спама с сервера и выйти из под бана, дальше в любом случае вдумчивая чистка и латание дыр.
Простой
Средний
